การเปิดตัว Notion เวอร์ชัน 3.0 ล่าสุดได้นำเสนอ AI agents ที่มีประสิทธิภาพสูงซึ่งสามารถจัดการงานต่างๆ ในพื้นที่ทำงานได้อย่างอัตโนมัติ แต่นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ร้ายแรงที่ทำให้ผู้โจมตีสามารถขโมยข้อมูลส่วนตัวได้ผ่านการใช้เครื่องมือค้นหาเว็บในทางที่ผิดอย่างชาญฉลาด
ช่องโหว่นี้แสดงให้เห็นสิ่งที่ผู้เชี่ยวชาญเรียกว่า สามเหลี่ยมมรณะ ซึ่งเป็นการผสมผสานที่อันตรายที่เกิดขึ้นเมื่อระบบ AI มีการเข้าถึงข้อมูลส่วนตัว การเปิดรับเนื้อหาที่ไม่น่าเชื่อถือ และความสามารถในการสื่อสารกับภายนอก อย่างไรก็ตาม ชุมชนเทคโนโลยีได้ชี้แจงอย่างรวดเร็วว่าการโจมตีแบบนี้ไม่ใช่เรื่องใหม่ทั้งหมด เนื่องจากเคยมีการสาธิตในบริบทที่แตกต่างกันมาหลายปีแล้ว
องค์ประกอบของ "Lethal Trifecta":
- การเข้าถึงข้อมูลส่วนตัว
- การสัมผัสกับเนื้อหาที่ไม่น่าเชื่อถือ
- ความสามารถในการสื่อสารกับภายนอก
 |
|---|
| การอภิปรายเกี่ยวกับความเสี่ยงที่ซ่อนอยู่ของ AI agents ใน Notion 30 และช่องโหว่ที่เกี่ยวข้อง |
วิธีการโจมตีคล้ายกับกลยุทธ์ Phishing แบบดั้งเดิม
นักวิจัยด้านความปลอดภัยพบว่าผู้โจมตีสามารถฝังคำสั่งที่เป็นอันตรายในเอกสาร PDF ที่ดูไม่น่าสงสัย โดยใช้เทคนิคที่คล้ายกับแคมเปญ phishing แบบดั้งเดิมอย่างน่าทึ่ง คำสั่งที่เป็นอันตรายเหล่านี้ถูกซ่อนเป็นข้อความสีขาวบนพื้นหลังสีขาว ทำให้มองไม่เห็นสำหรับผู้ใช้ แต่ AI agents สามารถอ่านได้
เมื่อผู้ใช้อัปโหลดเอกสารเหล่านี้และขอให้ AI สรุปเนื้อหา คำสั่งที่ซ่อนอยู่จะหลอก agent ให้ค้นหาข้อมูลลับและส่งต่อไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมผ่านการค้นหาเว็บ การโจมตีนี้ใช้กลยุทธ์การจัดการทางจิตวิทยา รวมถึงการอ้างอำนาจ ความเร่งด่วนที่เป็นเท็จ ความน่าเชื่อถือทางเทคนิค และการแสดงความปลอดภัยเพื่อโน้มน้าวให้ AI ปฏิบัติตาม
Prompt injection ในที่นี้เหมือนกับแคมเปญ phishing ที่มุ่งเป้าไปที่หน่วยงานที่ไม่มีจิตสำนึกหรือความสามารถในการหยุดและตั้งคำถามผ่านการไตร่ตรองตนเอง
ลักษณะของเวกเตอร์การโจมตี:
- การอ้างอำนาจ (อ้างว่าเป็น "งานประจำที่สำคัญ")
- ความเร่งด่วนเท็จ (เตือนถึง "ผลที่ตามมา")
- ความถูกต้องทางเทคนิค (ใช้ไวยากรณ์เครื่องมือเฉพาะ)
- การแสดงความปลอดภัยเท็จ (อ้างว่าการดำเนินการได้รับ "การอนุญาตล่วงหน้า" และ "ปลอดภัย")
 |
|---|
| หน้า Notion ที่แสดงข้อมูลลูกค้าลับที่อาจเสี่ยงต่อการถูกโจมตีจากคำสั่ง AI ที่เป็นอันตราย |
ปัญหาพื้นฐานยังคงไม่ได้รับการแก้ไข
แม้จะมีการอภิปรายในชุมชนความปลอดภัยมาเป็นเวลาสามปี แต่ยังไม่มีวิธีแก้ไขที่แข็งแกร่งสำหรับปัญหาการผสมผสานระหว่างคำสั่งและข้อมูลที่ทำให้การโจมตีเหล่านี้เป็นไปได้ โมเดล AI ปัจจุบันยังคงมีปัญหาในการแยกแยะระหว่างคำสั่งระบบที่ถูกต้องและคำสั่งที่เป็นอันตรายที่ฝังอยู่ในข้อมูลผู้ใช้อย่างน่าเชื่อถือ
ชุมชนได้แสดงความกังวลว่าบริษัทอย่าง Notion กำลังปฏิบัติต่อช่องโหว่เหล่านี้เป็นฟีเจอร์มากกว่าความเสี่ยงด้านความปลอดภัย โดยเฉพาะเมื่อส่งเสริมให้ผู้ใช้เชื่อมต่อแหล่งข้อมูลที่มีความละเอียดอ่อนอย่าง GitHub, Gmail และ Jira โดยไม่มีคำเตือนที่เพียงพอเกี่ยวกับความเสี่ยงที่อาจเกิดขึ้น
การรวมระบบ MCP ของ Notion 3.0:
- GitHub
- Gmail
- Jira
- แหล่งข้อมูลภายนอกอื่นๆ อีกหลายแห่ง
 |
|---|
| รายงานสรุปความคิดเห็นและความกังวลด้านความปลอดภัยจากผู้ทดสอบ beta ที่เกี่ยวข้องกับช่องโหว่ของ AI |
การขยายพื้นผิวการโจมตีผ่านการรวมระบบ
การรวมระบบ MCP (Model Context Protocol) ใหม่ของ Notion ขยายพื้นผิวการโจมตีที่อาจเกิดขึ้นได้อย่างมีนัยสำคัญ แต่ละบริการที่เชื่อมต่อจะกลายเป็นช่องทางที่อาจเกิดการโจมตีแบบ indirect prompt injection ซึ่งเนื้อหาที่เป็นอันตรายจากแหล่งภายนอกอาจกระตุ้นให้เกิดการกระทำที่ไม่ต้องการภายในพื้นที่ทำงาน Notion
ช่องโหว่นี้น่ากังวลเป็นพิเศษเพราะส่งผลกระทบต่อแม้แต่โมเดล AI ระดับแนวหน้าอย่าง Claude Sonnet 4.0 ซึ่งถือว่ามีการป้องกันด้านความปลอดภัยที่ดีที่สุดในอุตสาหกรรม สิ่งนี้บ่งชี้ว่าปัญหาไม่ได้อยู่ที่การใช้งาน AI เฉพาะเจาะจงเท่านั้น แต่อยู่ที่สถาปัตยกรรมพื้นฐานของโมเดลภาษาปัจจุบัน
ชุมชนความปลอดภัยยังคงค้นหาวิธีแก้ไข โดยนักวิจัยบางคนกำลังสำรวจการเปลี่ยนแปลงสถาปัตยกรรมที่จะแยกข้อมูลที่เชื่อถือได้และไม่เชื่อถือได้ จำกัดการดำเนินการกับเนื้อหาที่ไม่เชื่อถือได้ให้อยู่ในการแปลงแบบ sandbox โดยไม่มีการเข้าถึงเครือข่าย อย่างไรก็ตาม วิธีแก้ไขดังกล่าวยังคงอยู่ในระดับทดลองและจะจำกัดการทำงานที่ทำให้ AI agents น่าสนใจสำหรับผู้ใช้ในตอนแรก
อ้างอิง: The Hidden Risk in Notion 3.0 AI Agents: Web Search Tool Abuse for Data Exfiltration