- Notion-Statement ergänzt
Update vom 22. September 2025:
Notion hat auf die Sicherheitsprobleme mit seinen KI-Agenten reagiert (siehe unten). Zur Abwehr sogenannter Prompt-Injection-Angriffe – also versteckter Manipulationen durch Anweisungen innerhalb von Nutzereingaben oder hochgeladenen Dateien – habe Notion die internen Erkennungssysteme deutlich ausgebaut, so ein Sprecher des Unternehmens.
Diese sollen laut Unternehmensangaben "eine breitere Palette von Injection-Mustern" erfassen, einschließlich solcher, die in Dateianhängen verborgen sind. Zusätzlich führt ein spezialisiertes Sicherheitsteam regelmäßig Red-Teaming-Tests durch, um Schwachstellen proaktiv zu identifizieren und zu schließen.
Prompt Injection ist kein exklusives Problem von Notion. Die Sicherheitslücke betrifft sämtliche LLM-basierten Systeme und insbesondere agentische Architekturen, bei denen Sprachmodelle eigenständig Aufgaben ausführen. Solche Systeme kombinieren häufig mehrere LLM-Prozesse mit Toolzugriff und Langzeitspeicher – ein komplexes Zusammenspiel, das potenziell anfällig für verdeckte Eingriffe ist. Zudem kommen dabei häufiger kleinere Sprachmodelle mit geringerer Robustheit zum Einsatz, was das Risiko weiter erhöht.
Schutzmechanismen für Links und Webzugriff
Auch der Umgang mit externen Links wurde verbessert. Bevor ein Agent einen verdächtigen oder vom Modell generierten Link öffnet, ist nun eine zusätzliche Bestätigung durch den Nutzer erforderlich. Administratoren können zudem zentral festlegen, ob und wann solche Links aktiviert werden dürfen.
Darüber hinaus lässt sich der Webzugriff der Agenten jetzt vollständig deaktivieren. Neue Admin-Funktionen ermöglichen eine feinere Kontrolle darüber, ob und in welchem Kontext KI-Agenten auf externe Inhalte zugreifen dürfen.
Artikel vom 21. September 2025:
Notions neue KI-Agenten können vertrauliche Daten über Websuche-Tool exfiltrieren
Das hat nicht lange gedauert: In Notion 3.0 können KI-Agenten durch ein unscheinbares PDF zur Weitergabe sensibler Daten bewegt werden – ohne dass der Nutzer es merkt.
Mit der Einführung von Notion 3.0 hat das Unternehmen KI-Agenten vorgestellt, die selbstständig Aufgaben erledigen können. etwa Dokumente erstellen, Datenbanken aktualisieren oder Workflows über integrierte Tools automatisieren. Nutzer können diese Agenten personalisieren und auf Zeitpläne oder Trigger reagieren lassen.
Wie CodeIntegrity berichtet, bringt diese neue Autonomie erhebliche Sicherheitsrisiken mit sich. Im Zentrum steht die sogenannte „lethale Trifecta“: die Kombination aus LLM-Agenten, Toolzugriff und Langzeitspeicher. Klassische Zugriffskontrollen wie RBAC greifen in solchen Szenarien nicht mehr.
Besonders gefährlich ist das Websuche-Tool functions.search, das in Notions Agenten integriert ist. Es erlaubt KI-Agenten, externe URLs aufzurufen – eigentlich zur Automatisierung gedacht, aber leicht für Datenabfluss missbrauchbar.
CodeIntegrity zeigt in einem Demonstrationsangriff, wie ein manipuliertes PDF mit einem versteckten Prompt die Notion-KI dazu verleitet, vertrauliche Kundendaten zu extrahieren und an einen vom Angreifer kontrollierten Server zu senden. Das PDF tarnt sich als Feedback-Bericht, enthält aber einen Prompt, der eine scheinbar interne Routineaufgabe beschreibt – inklusive Anleitung zur Datenübertragung über das Websuche-Tool.
Sobald ein Nutzer das PDF in Notion hochlädt und den Agenten etwa mit „Fasse den Bericht zusammen“ instruiert, greift dieser auf die Anweisung zu, extrahiert die Daten und sendet sie an die angegebene URL. Der Angriff wurde mit Claude Sonnet 4.0 durchgeführt, einem aktuellen Modell mit eigentlich modernen Sicherheitsmechanismen.
Die Gefahr ist systemisch: Notion 3.0 erlaubt auch die Integration externer Datenquellen wie GitHub, Gmail oder Jira. Jede dieser Quellen kann potenziell manipulierte Inhalte enthalten, die über indirekte Prompt Injection Agenten zu ungewollten Handlungen verleiten.
