Das hat nicht lange gedauert: In Notion 3.0 können KI-Agenten durch ein unscheinbares PDF zur Weitergabe sensibler Daten bewegt werden – ohne dass der Nutzer es merkt.
Mit der Einführung von Notion 3.0 hat das Unternehmen KI-Agenten vorgestellt, die selbstständig Aufgaben erledigen können. etwa Dokumente erstellen, Datenbanken aktualisieren oder Workflows über integrierte Tools automatisieren. Nutzer können diese Agenten personalisieren und auf Zeitpläne oder Trigger reagieren lassen.
Wie CodeIntegrity berichtet, bringt diese neue Autonomie erhebliche Sicherheitsrisiken mit sich. Im Zentrum steht die sogenannte „lethale Trifecta“: die Kombination aus LLM-Agenten, Toolzugriff und Langzeitspeicher. Klassische Zugriffskontrollen wie RBAC greifen in solchen Szenarien nicht mehr.
Besonders gefährlich ist das Websuche-Tool functions.search, das in Notions Agenten integriert ist. Es erlaubt KI-Agenten, externe URLs aufzurufen – eigentlich zur Automatisierung gedacht, aber leicht für Datenabfluss missbrauchbar.
CodeIntegrity zeigt in einem Demonstrationsangriff, wie ein manipuliertes PDF mit einem versteckten Prompt die Notion-KI dazu verleitet, vertrauliche Kundendaten zu extrahieren und an einen vom Angreifer kontrollierten Server zu senden. Das PDF tarnt sich als Feedback-Bericht, enthält aber einen Prompt, der eine scheinbar interne Routineaufgabe beschreibt – inklusive Anleitung zur Datenübertragung über das Websuche-Tool.
Sobald ein Nutzer das PDF in Notion hochlädt und den Agenten etwa mit „Fasse den Bericht zusammen“ instruiert, greift dieser auf die Anweisung zu, extrahiert die Daten und sendet sie an die angegebene URL. Der Angriff wurde mit Claude Sonnet 4.0 durchgeführt, einem aktuellen Modell mit eigentlich modernen Sicherheitsmechanismen.
Die Gefahr ist systemisch: Notion 3.0 erlaubt auch die Integration externer Datenquellen wie GitHub, Gmail oder Jira. Jede dieser Quellen kann potenziell manipulierte Inhalte enthalten, die über indirekte Prompt Injection Agenten zu ungewollten Handlungen verleiten.
