Notion3.0のリリースに伴い、新しい自律型AIエージェント機能が注目されています。この機能は、ドキュメントの作成やデータベースの更新、業務プロセスの管理などのタスクを自動化することを目的としています。しかし、サイバーセキュリティ企業CodeIntegrityの最新レポートによると、これらのAIエージェントには重大なセキュリティ脆弱性が存在することが明らかになりました。具体的には、悪意のあるファイル(例:PDF)が利用され、エージェントがセキュリティ対策を回避し、機密データを盗むことができるとのことです。

ハッカー サイバー攻撃 (1)

CodeIntegrityはこの脆弱性の原因を、「致命的なトリオ」と呼ばれる要因の組み合わせにあると見ています。それは大規模言語モデル(LLM)ツールへのアクセス権限、および長期記憶です。研究者らは、従来のアクセス制御措置(例えば、ロールベースアクセス制御RBAC)では、このような複雑な環境において十分な保護が提供できないと指摘しています。

この脆弱性の核心は、Notion3.0に内蔵されたネットワーク検索ツールfunctions.searchです。このツールは本来、AIエージェントが外部情報を取得するためのものですが、実はデータを漏洩させるために簡単に操作されてしまいます。

これを示すために、CodeIntegrityチームはデモ攻撃を実施しました。彼らは、見かけ上無害なPDFファイルを作成し、その中に隠れた悪意のある指示を埋め込みました。この指示は、AIエージェントがネットワーク検索ツールを通じて機密顧客データを攻撃者管理のサーバーにアップロードするよう指示しています。ユーザーがこのPDFをNotionにアップロードし、「レポートを要約して」と要求すると、エージェントは隠れた指示に忠実に従ってデータを抽出・送信します。注目すべきは、この攻撃が最高性能の言語モデルClaude Sonnet4.0でも成功したことであり、これは先進的な防御策でもこの脆弱性を防ぐことができないことを示しています。

レポートでは、この問題がPDFファイルに限定されているわけではないことも警告しています。Notion3.0のAIエージェントはGitHub、Gmail、Jiraなどのサードパーティサービスに接続できるため、どの統合も間接的なプロンプトインジェクションの媒介となる可能性があり、悪意のあるコンテンツがそれを利用して潜入し、AIエージェントに不適切な動作を引き起こす恐れがあります。これにより、ユーザーの意図とは異なる行動が行われる可能性があります。