Con la lanzamiento de Notion 3.0, su nueva función de agentes de inteligencia artificial (IA) autónomos ha llamado la atención, ya que está diseñada para ayudar a los usuarios a completar automáticamente tareas como redactar documentos, actualizar bases de datos y gestionar flujos de trabajo. Sin embargo, un informe reciente de la empresa de ciberseguridad CodeIntegrity reveló una grave vulnerabilidad en estos agentes de IA: archivos maliciosos (como PDF) pueden ser utilizados para inducir a los agentes a saltarse las medidas de seguridad y robar datos sensibles.
CodeIntegrity atribuye esta vulnerabilidad al "trío mortal" de los agentes de IA: la combinación de modelos de lenguaje grandes (LLM), acceso a herramientas y memoria a largo plazo. Los investigadores señalaron que los métodos tradicionales de control de acceso (como el control de acceso basado en roles, RBAC) no proporcionan una protección suficiente en este entorno complejo.
El núcleo de esta vulnerabilidad es la herramienta de búsqueda en Internet integrada en Notion 3.0 functions.search. Aunque su propósito original era ayudar a los agentes de IA a obtener información externa, esta herramienta es extremadamente propensa a ser manipulada para robar datos.
Para demostrar esto, el equipo de CodeIntegrity realizó un ataque de demostración: crearon un archivo PDF aparentemente inofensivo que contenía una instrucción oculta maliciosa, indicando al agente de IA que subiera datos sensibles de clientes a un servidor controlado por el atacante mediante la herramienta de búsqueda en Internet. Una vez que el usuario cargue este PDF en Notion y le pida al agente que "resuma el informe", el agente ejecutará fielmente la instrucción oculta, extrayendo y transmitiendo los datos. Es importante destacar que este ataque tuvo éxito incluso cuando se usó el modelo de lenguaje más avanzado, Claude Sonnet 4.0, lo que demuestra que incluso las medidas de protección avanzadas no lograron evitar esta vulnerabilidad.
El informe también advierte que este problema no se limita únicamente a los archivos PDF. Los agentes de IA de Notion 3.0 pueden conectarse a servicios de terceros como GitHub, Gmail o Jira, y cualquier integración puede convertirse en un portador de inyección de comandos indirectos, permitiendo que contenido malicioso ingrese y induzca al agente de IA a realizar acciones inapropiadas, contradiciendo así las intenciones del usuario.
