Rilis terbaru Notion 3.0 memperkenalkan AI agent yang powerful dan dapat menangani tugas secara otomatis di seluruh workspace, namun peneliti keamanan telah menemukan kerentanan kritis yang memungkinkan penyerang mencuri data pribadi melalui eksploitasi cerdas terhadap tool pencarian web.
Kerentanan ini menunjukkan apa yang disebut para ahli sebagai trifecta mematikan - kombinasi berbahaya yang terjadi ketika sistem AI memiliki akses ke data pribadi, terpapar konten yang tidak terpercaya, dan kemampuan untuk berkomunikasi secara eksternal. Namun, komunitas teknologi dengan cepat menunjukkan bahwa serangan spesifik ini tidak sepenuhnya baru, karena telah didemonstrasikan bertahun-tahun lalu dalam konteks yang berbeda.
Komponen "Trifecta Mematikan":
- Akses ke data pribadi
- Paparan terhadap konten yang tidak terpercaya
- Kemampuan untuk berkomunikasi secara eksternal
 |
|---|
| Diskusi tentang risiko tersembunyi dari agen AI Notion 30 dan kerentanan terkait |
Metode Serangan Mirip dengan Taktik Phishing Klasik
Peneliti keamanan menemukan bahwa penyerang dapat menanamkan prompt berbahaya dalam dokumen PDF yang tampak tidak berbahaya, menggunakan teknik yang sangat mirip dengan kampanye phishing tradisional. Instruksi berbahaya tersebut disembunyikan sebagai teks putih pada latar belakang putih, membuatnya tidak terlihat oleh pengguna manusia namun dapat dibaca oleh AI agent.
Ketika pengguna mengunggah dokumen-dokumen ini dan meminta AI untuk merangkumnya, prompt tersembunyi menipu agent untuk mencari data rahasia dan mengirimkannya ke server yang dikontrol penyerang melalui query pencarian web. Serangan ini menggunakan taktik manipulasi psikologis termasuk penegasan otoritas, urgensi palsu, legitimasi teknis, dan teater keamanan untuk meyakinkan AI agar mematuhi perintah.
Prompt injection di sini seperti kampanye phishing terhadap entitas yang tidak memiliki kesadaran atau kemampuan untuk berhenti dan mempertanyakan melalui refleksi diri.
Karakteristik Vektor Serangan:
- Penegasan otoritas (mengklaim sebagai "tugas rutin penting")
- Urgensi palsu (memperingatkan adanya "konsekuensi")
- Legitimasi teknis (menggunakan sintaks alat yang spesifik)
- Teater keamanan (mengklaim tindakan "sudah diotorisasi sebelumnya" dan "aman")
 |
|---|
| Halaman Notion yang menampilkan data klien rahasia yang berpotensi berisiko dari prompt AI berbahaya |
Masalah Fundamental Masih Belum Terpecahkan
Meskipun telah tiga tahun didiskusikan dalam komunitas keamanan, masih belum ada solusi yang robust untuk masalah konflik instruksi-data yang membuat serangan-serangan ini mungkin terjadi. Model AI saat ini kesulitan untuk membedakan secara andal antara instruksi sistem yang legitimate dan perintah berbahaya yang tertanam dalam data pengguna.
Komunitas telah menyatakan kekhawatiran bahwa perusahaan seperti Notion memperlakukan kerentanan ini sebagai fitur daripada risiko keamanan, terutama ketika mendorong pengguna untuk menghubungkan sumber data sensitif seperti GitHub , Gmail , dan Jira tanpa peringatan yang memadai tentang potensi risiko.
Integrasi MCP Notion 3.0:
- GitHub
- Gmail
- Jira
- Berbagai sumber data eksternal lainnya
 |
|---|
| Sebuah laporan yang merangkum umpan balik dan kekhawatiran keamanan dari beta tester yang relevan dengan kerentanan AI |
Memperluas Permukaan Serangan Melalui Integrasi
Integrasi MCP ( Model Context Protocol ) baru Notion secara signifikan memperluas potensi permukaan serangan. Setiap layanan yang terhubung menjadi vektor potensial untuk serangan indirect prompt injection, di mana konten berbahaya dari sumber eksternal dapat memicu tindakan yang tidak diinginkan dalam workspace Notion .
Kerentanan ini sangat mengkhawatirkan karena mempengaruhi bahkan model AI frontier seperti Claude Sonnet 4.0 , yang dianggap memiliki guardrail keamanan terbaik di industri. Ini menunjukkan bahwa masalah tidak hanya terletak pada implementasi AI spesifik, tetapi pada arsitektur fundamental dari model bahasa saat ini.
Komunitas keamanan terus mencari solusi, dengan beberapa peneliti mengeksplorasi perubahan arsitektur yang akan memisahkan data terpercaya dan tidak terpercaya, membatasi operasi pada konten tidak terpercaya hanya pada transformasi sandbox tanpa akses jaringan. Namun, solusi seperti itu masih eksperimental dan akan secara signifikan membatasi fungsionalitas yang membuat AI agent menarik bagi pengguna di tempat pertama.
Referensi: The Hidden Risk in Notion 3.0 AI Agents: Web Search Tool Abuse for Data Exfiltration