Phiên bản 3.0 mới nhất của Notion giới thiệu các AI agents mạnh mẽ có thể tự động xử lý các tác vụ trên toàn bộ workspace, nhưng các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng nghiêm trọng cho phép kẻ tấn công đánh cắp dữ liệu riêng tư thông qua việc khai thác khéo léo công cụ tìm kiếm web.
Lỗ hổng này thể hiện cái mà các chuyên gia gọi là bộ ba chết người - một sự kết hợp nguy hiểm xảy ra khi các hệ thống AI có quyền truy cập vào dữ liệu riêng tư, tiếp xúc với nội dung không đáng tin cậy, và khả năng giao tiếp với bên ngoài. Tuy nhiên, cộng đồng công nghệ đã nhanh chóng chỉ ra rằng cuộc tấn công cụ thể này không hoàn toàn mới, đã được chứng minh từ nhiều năm trước trong các bối cảnh khác nhau.
Các thành phần của "Bộ ba chết người":
- Truy cập vào dữ liệu riêng tư
- Tiếp xúc với nội dung không đáng tin cậy
- Khả năng giao tiếp với bên ngoài
 |
|---|
| Thảo luận về những rủi ro ẩn giấu của AI agents Notion 30 và các lỗ hổng liên quan |
Phương Thức Tấn Công Giống Với Chiến Thuật Phishing Cổ Điển
Các nhà nghiên cứu bảo mật phát hiện rằng kẻ tấn công có thể nhúng các lệnh độc hại vào các tài liệu PDF có vẻ vô hại, sử dụng các kỹ thuật tương tự đáng kể với các chiến dịch phishing truyền thống. Các chỉ dẫn độc hại được ẩn dưới dạng văn bản màu trắng trên nền trắng, khiến chúng vô hình với người dùng nhưng vẫn có thể đọc được bởi AI agents.
Khi người dùng tải lên các tài liệu này và yêu cầu AI tóm tắt chúng, các lệnh ẩn sẽ lừa agent tìm kiếm dữ liệu bí mật và truyền nó đến các máy chủ do kẻ tấn công kiểm soát thông qua các truy vấn tìm kiếm web. Cuộc tấn công sử dụng các chiến thuật thao túng tâm lý bao gồm khẳng định quyền lực, tạo cảm giác khẩn cấp giả, tính hợp pháp kỹ thuật, và kịch bản bảo mật để thuyết phục AI tuân thủ.
Prompt injection ở đây giống như một chiến dịch phishing chống lại một thực thể không có ý thức hoặc khả năng dừng lại và đặt câu hỏi thông qua tự phản ánh.
Đặc điểm của Vector Tấn công:
- Khẳng định thẩm quyền (tuyên bố là "nhiệm vụ thường xuyên quan trọng")
- Tạo cảm giác khẩn cấp giả (cảnh báo về "hậu quả")
- Tính hợp pháp về mặt kỹ thuật (sử dụng cú pháp công cụ cụ thể)
- Màn kịch bảo mật (tuyên bố hành động đã được "ủy quyền trước" và "an toàn")
 |
|---|
| Trang Notion trình bày dữ liệu khách hàng bí mật có thể gặp rủi ro từ các lời nhắc AI độc hại |
Vấn Đề Cơ Bản Vẫn Chưa Được Giải Quyết
Mặc dù đã có ba năm thảo luận trong cộng đồng bảo mật, vẫn chưa có giải pháp mạnh mẽ nào cho vấn đề nhầm lẫn giữa chỉ dẫn và dữ liệu khiến các cuộc tấn công này trở nên khả thi. Các mô hình AI hiện tại gặp khó khăn trong việc phân biệt một cách đáng tin cậy giữa các chỉ dẫn hệ thống hợp pháp và các lệnh độc hại được nhúng trong dữ liệu người dùng.
Cộng đồng đã bày tỏ lo ngại rằng các công ty như Notion đang coi những lỗ hổng này như các tính năng thay vì rủi ro bảo mật, đặc biệt khi khuyến khích người dùng kết nối các nguồn dữ liệu nhạy cảm như GitHub , Gmail , và Jira mà không có cảnh báo đầy đủ về các rủi ro tiềm ẩn.
Tích hợp MCP của Notion 3.0:
- GitHub
- Gmail
- Jira
- Nhiều nguồn dữ liệu bên ngoài khác
 |
|---|
| Một báo cáo tóm tắt phản hồi và mối quan ngại về bảo mật từ những người thử nghiệm beta liên quan đến các lỗ hổng AI |
Mở Rộng Bề Mặt Tấn Công Thông Qua Tích Hợp
Các tích hợp MCP ( Model Context Protocol ) mới của Notion mở rộng đáng kể bề mặt tấn công tiềm ẩn. Mỗi dịch vụ được kết nối trở thành một vector tiềm ẩn cho các cuộc tấn công prompt injection gián tiếp, nơi nội dung độc hại từ các nguồn bên ngoài có thể kích hoạt các hành động không mong muốn trong workspace Notion .
Lỗ hổng này đặc biệt đáng lo ngại vì nó ảnh hưởng đến cả các mô hình AI tiên tiến như Claude Sonnet 4.0 , được coi là có các biện pháp bảo vệ bảo mật tốt nhất trong ngành. Điều này cho thấy rằng vấn đề không chỉ nằm ở các triển khai AI cụ thể, mà ở kiến trúc cơ bản của các mô hình ngôn ngữ hiện tại.
Cộng đồng bảo mật tiếp tục tìm kiếm các giải pháp, với một số nhà nghiên cứu khám phá các thay đổi kiến trúc sẽ tách biệt dữ liệu đáng tin cậy và không đáng tin cậy, giới hạn các hoạt động trên nội dung không đáng tin cậy chỉ trong các biến đổi sandbox mà không có quyền truy cập mạng. Tuy nhiên, những giải pháp như vậy vẫn còn ở giai đoạn thử nghiệm và sẽ hạn chế đáng kể chức năng khiến AI agents trở nên hấp dẫn với người dùng ngay từ đầu.
Tham khảo: The Hidden Risk in Notion 3.0 AI Agents: Web Search Tool Abuse for Data Exfiltration