Notion 3.0 AI 代理爆出严重漏洞，恶意 PDF 可诱导其泄露敏感数据

随着 Notion 3.0 的推出，其引入的自主 AI 代理功能引发了广泛关注。这一新特性旨在协助用户自动化完成诸如撰写文档、维护数据库以及优化工作流等任务。

然而，网络安全企业 CodeIntegrity 最近发布的一份研究报告指出，这些 AI 代理存在一个严重安全隐患：攻击者可利用恶意文件（例如 PDF）诱使 AI 代理绕过安全机制，进而窃取系统中的敏感信息。

该漏洞的根源被研究人员称为“致命三重奏”——即大型语言模型（LLM）、对各类工具的访问权限，以及长期记忆能力三者结合所带来的风险。报告强调，在此类高度动态的环境中，传统安全策略（如基于角色的访问控制 RBAC）已难以提供有效防护。

问题的关键在于 Notion 3.0 内置的网络搜索功能

functions.search

。虽然该工具设计用于让 AI 代理获取外部数据，但其机制存在缺陷，容易被恶意操控以实现数据外泄。

为验证该漏洞的可行性，CodeIntegrity 团队实施了一次模拟攻击：他们制作了一份表面正常的 PDF 文件，其中嵌入了隐蔽的恶意指令。该指令会引导 AI 代理调用

functions.search

工具，将用户的客户数据发送至攻击者掌控的服务器。一旦用户将此 PDF 上传至 Notion 并请求 AI 代理“概括报告内容”，代理便会自动执行隐藏命令，完成数据提取与传输。

尤为令人担忧的是，即便在采用当前领先的语言模型 Claude Sonnet 4.0 的情况下，该攻击仍成功实施，说明现有防御手段对此类威胁仍显不足。

报告进一步提醒，该风险不仅局限于 PDF 文件。由于 Notion 3.0 的 AI 代理支持连接 GitHub、Gmail、Jira 等第三方平台，任何集成服务都可能成为间接提示注入的通道。一旦有恶意内容通过这些渠道进入系统，便可能诱导 AI 执行非预期操作，严重偏离用户原始意图。