随着 Notion 3.0 的发布，其全新的自主 AI 代理功能备受关注，该功能旨在帮助用户自动完成起草文档、更新数据库和管理工作流程等任务。

然而，网络安全公司 CodeIntegrity 最新的一份报告揭示了这些 AI 代理存在一个严重的安全漏洞，即恶意文件（如 PDF）可被利用，诱导代理绕过安全防护并窃取敏感数据。

CodeIntegrity 将这一漏洞归因于 AI 代理的“致命三重奏：大型语言模型（LLM）、工具访问权限和长期记忆的结合。研究人员指出，传统的访问控制措施（如基于角色的访问控制 RBAC）在这种复杂环境中无法提供足够保护。

该漏洞的核心是 Notion3.0的内置网络搜索工具 functions.search。尽管其初衷是帮助 AI 代理获取外部信息，但该工具却极易被操纵以窃取数据。

为了证明这一点，CodeIntegrity 团队进行了一次演示攻击:他们创建了一份看似无害的 PDF 文件，其中包含一条隐藏的恶意指令，指示 AI 代理通过网络搜索工具将敏感客户数据上传到攻击者控制的服务器。一旦用户将该 PDF 上传至 Notion 并要求代理“总结报告”，代理便会忠实地执行隐藏指令，提取并传输数据。

值得注意的是，该攻击在使用了最先进的语言模型 Claude Sonnet4.0的情况下依然成功，表明即使是先进的防护措施也未能阻止这一漏洞。

报告同时警告，这一问题不仅限于 PDF 文件。Notion3.0的 AI 代理能够连接到 GitHub、Gmail 或 Jira 等第三方服务，任何集成都有可能成为间接提示注入的载体，恶意内容可以借此潜入，诱导 AI 代理执行不当行为，从而违背用户的初衷。