Notion 3.0のAIエージェント、悪意あるPDFでデータ漏洩の危険性

Notion 3.0の新しいAIエージェントには、悪意あるPDFを通じて機密データを漏洩する重大な脆弱性があることが判明した。Notion 3.0では、文書の作成やデータベースの更新、ワークフローの自動化などを行う自律的なAIエージェントが導入された。しかし、CodeIntegrityの報告によれば、この自律性には重大なセキュリティリスクが伴う。研究者たちは、LLMエージェント、ツールアクセス、長期記憶の組み合わせを「致命的な三位一体」と呼び、従来のアクセス制御ではこの設定での悪用を防ぐには不十分であると指摘している。

最も危険な機能の一つは、外部URLから情報を取得するために設計された内蔵のウェブ検索ツール、functions.searchであるが、データを流出させるためにも悪用される可能性がある。CodeIntegrityは、顧客フィードバックレポートに偽装した無害に見えるPDFを使用して、AIに攻撃者が管理するサーバーに機密データをアップロードするよう指示する隠れたプロンプトを含むデモ攻撃を実施した。

ユーザーがPDFをNotionにアップロードし、エージェントに「レポートを要約する」よう依頼すると、AIは隠れた指示に従い、データを抽出してネットワークを介して送信する。このテストでは、最先端の言語モデルであるClaude Sonnet 4.0が使用され、保護策にもかかわらずこのトリックに引っかかった。問題はPDFに限らず、Notion 3.0のエージェントはGitHub、Gmail、Jiraなどのサードパーティサービスに直接接続でき、これらの統合は、悪意あるコンテンツが注入され、AIがユーザーの意図に反して動作するように誘導される間接的なプロンプト注入の経路となる可能性がある。

悪意あるコンテンツが密輸され、AIをユーザーの意図に反して操作するために使用される可能性があることは、重大なセキュリティ上の懸念を浮き彫りにしている。