Mit der Veröffentlichung von Notion 3.0 hat die neue Funktion des selbstständigen KI-Agenten viel Aufmerksamkeit erregt. Diese Funktion soll Benutzern helfen, Dokumente zu verfassen, Datenbanken zu aktualisieren und Arbeitsabläufe zu verwalten. Allerdings enthüllte ein neuer Bericht der Sicherheitsfirma CodeIntegrity einen schwerwiegenden Sicherheitsvorfall bei diesen KI-Agenten: Schadsoftware wie PDF-Dateien kann genutzt werden, um die Agenten dazu zu bringen, Sicherheitsmaßnahmen zu umgehen und vertrauliche Daten zu stehlen.
CodeIntegrity weist den Schwachpunkt auf die „verheerende Dreifachheit“ der KI-Agenten zurück: die Kombination aus großen Sprachmodellen (LLM), Zugriffsrechten auf Tools und langer Erinnerungsfähigkeit. Die Forscher erklären, dass traditionelle Zugriffskontrollmechanismen (wie RBAC, Role-Based Access Control) in dieser komplexen Umgebung nicht ausreichend Schutz bieten.
Der Kern des Schwachpunkts ist das integrierte Netzwerksuchwerkzeug von Notion 3.0, functions.search. Obwohl es ursprünglich dazu dienen soll, KI-Agenten externe Informationen zu beschaffen, ist dieses Werkzeug leicht manipulierbar, um Daten zu stehlen.
Um dies zu beweisen, führte das Team von CodeIntegrity eine Demonstration eines Angriffs durch: Sie erstellten eine scheinbar harmlose PDF-Datei, die eine versteckte schädliche Anweisung enthielt, die den KI-Agenten anwies, vertrauliche Kundendaten über das Netzwerksuchwerkzeug auf einen Server unter Kontrolle des Angreifers hochzuladen. Wenn ein Benutzer diese PDF-Datei in Notion hochlädt und den Agenten bittet, „einen Bericht zusammenzufassen“, führt der Agent die versteckte Anweisung treu aus und extrahiert und überträgt die Daten. Interessanterweise war dieser Angriff auch bei Verwendung des fortschrittlichsten Sprachmodells Claude Sonnet 4.0 erfolgreich, was zeigt, dass sogar fortgeschrittene Schutzmaßnahmen diesen Schwachpunkt nicht blockieren können.
Der Bericht warnt zudem, dass dieses Problem nicht nur auf PDF-Dateien beschränkt ist. Die KI-Agenten von Notion 3.0 können sich mit Drittanbieterdiensten wie GitHub, Gmail oder Jira verbinden. Jede Integration könnte ein Träger für indirekte Prompt-Injektion sein, über den schädliche Inhalte eindringen und KI-Agenten dazu verleiten könnten, unangemessene Handlungen auszuführen und somit den ursprünglichen Absichten des Nutzers zu widersprechen.
