最近 Notion 3.0 把「AI 代理(Agents)」和 MCP(Model Context Protocol)整合進來,使其能自動在工作區跨工具處理任務;但研究人員發現,代理在讀到藏了指令的內容時,可能會被誤導,再用內建的 Web Search 把工作區裡的機敏資料塞進網址送到攻擊者網域,造成注入攻擊
而且,因為 Notion 能經由 MCP 等外部來源,要是某個來源帶入惡意內容,代理就可能「跨服務」把資料帶出去;傳統只看角色權限(RBAC)就不夠了,因為代理還有「會自己決定動作、還能調用工具」的能力。
問題不在模型,在於工具與出站
「間接提示注入」的意思是:攻擊者把惡意指令藏在資料裡(例如 PDF、網頁、表單),當 AI 代理去讀取時,會把那段話當成真正的工作指令來執行,進而做出你沒打算讓它做的事。這種風險是 LLM/代理應用的風險之一,目前已被 OWASP 列為關鍵項目。
所以重點不是「換一個更安全的模型就好」。即便底層模型很新、很嚴謹,如果你讓代理在讀內部資料的同時,又能上網、又能對外發送,那麼它仍可能把資料不小心送出去。這正是此次 Notion 個案裡演示的外洩路徑。
會如何影響網站?
現在很多團隊把 AI 助理加入工作內容,包括我自己也是,常見的有:整理 Notion 知識庫、讀 Google Drive 檔案、幫忙審稿、甚至上網查資料。只要同時具備能讀你的內部資料、又有能力對外發送的能力,就跟 Notion 的情境一樣,風險自然出現。這在 Google、Microsoft 的安全說明裡都被明確點名,把指令藏在外部資料裡,是目前 AI 系統最棘手的攻擊面之一,需要分層處裡。
該如何避免
- 關閉上網功能或設白名單
讓AI在處理內部資料時不能隨意對外連線,必要時只允許少數可信網域(白名單) - 調整工具權限
把讀取檔案和發送資料的權限拆開:允許AI閱讀內部資料,但禁用會對外發送的工具;或規定某些工具、特定目的地、高風險動作要人工確認。 - 頻繁查看工具使用紀錄
把AI每次使用工具、連到哪裡、送了什麼記下來;短時間對陌生網域連線暴增,就自動通知或暫停工作
這跟 MCP 有什麼關係?
雖然前言就有討論到MCP,但目前看下來似乎和主題沒有太大關係,實際上 MCP 是讓 AI「接資料/接工具」的標準介面,就像給 AI 一個虛擬的 USB 口,讓它能連各種系統。好處是整合更快、可治理;但也因此需要嚴肅調整相關權限,否則AI的權限變大,風險也一起放大。Notion 3.0 就是因為 MCP 與 AI Connectors 讓代理能跨服務串接,才需要更嚴的工具治理與出站控管。
AI 代理(Agent):會主動拆任務、調工具、跨服務把事情做完的 AI 助手。
間接提示注入:把惡意指令藏在資料本身(PDF、網頁…),AI 在讀資料時把它當成任務來做,出現「違背原意」的行為。
MCP(Model Context Protocol):讓 AI 跟資料來源、工具「接線」的標準,就像 AI 的 USB-C;好整合,但也要更好的治理。
RBAC:只用「誰是誰」決定能做什麼;到了代理時代,還需「工具級/任務級」的更細控管。
出站(Egress)限制:限制系統對外連線的目的地/內容,避免不小心把機敏資訊送出。
網站優化 / WordPress 技術協助
提供 WordPress 架站、搬家、技術諮詢等服務,如有相關需求,隨時歡迎聯繫。
