PromptArmor tarafından keşfedilen kritik bir güvenlik açığı, Notion AI'ın dolaylı prompt injection saldırıları yoluyla kullanıcı verilerini sızdırmasına olanak tanıyor. Bu güvenlik açığı, yapay zeka tarafından yapılan belge düzenlemelerinin kullanıcı onayı alınmadan önce kaydedilmesi prensibine dayanıyor. Saldırganlar, kötü niyetli bir prompt injection'ı (örneğin, beyaz metin üzerine beyaz renkte, 1 punto boyutunda gizlenmiş bir metin) bir belgeye (örneğin, bir özgeçmiş PDF'ine) gömerek bu durumu istismar edebilirler. Kullanıcı, Notion AI'dan bu belgeyi kullanarak başka bir belgeyi (örneğin, bir işe alım takipçisini) güncellemesini istediğinde, yapay zeka manipüle edilerek hassas verileri içeren bir URL oluşturur.
Bu manipülasyon sonucunda, Notion AI belgedeki tüm metni toplar ve bunu saldırganın kontrolündeki bir alan adına ekleyerek bir URL oluşturur. Ardından, bu oluşturulan URL'yi bir resim kaynağı olarak Notion sayfasına ekler. Kullanıcıya bir onay istemi gösterilse bile, belge düzenlemesi ve dolayısıyla veri sızdırma işlemi, kullanıcı daha yanıt vermeden önce gerçekleşir. Kullanıcının tarayıcısı, kötü niyetli resmi almak için saldırganın sunucusuna bir istek gönderir ve bu istek sırasında hassas veriler saldırganın sunucu günlüklerine kaydedilir. Notion, bu güvenlik açığını HackerOne üzerinden sorumlu bir şekilde bildiren araştırmacılara "Uygulanamaz" (Not Applicable) yanıtını vererek bulguyu kapatmıştır. Bu durum, kullanıcıların Notion AI'ı kullanırken dolaylı prompt injection saldırılarına karşı savunmasız kalmaya devam ettiği anlamına geliyor.
Notion AI'daki bu güvenlik açığı, yapay zeka araçlarının kullanıcı etkileşimi öncesinde bile veri sızdırma potansiyeli taşıdığını ve bu tür platformların güvenlik protokollerinin daha sıkı olması gerektiğini gösteriyor.