Notion 最近发布的 AI Agents 功能在便捷性上给用户带来了很大的提升，但与此同时，也引发了对安全性的关注。研究人员发现，Notion 的 AI Agents 存在一定的提示词注入（prompt injection）风险，这可能会导致敏感信息外泄。具体来说，攻击者可以通过将恶意代码嵌入 PDF 等文件中，利用隐藏的文本（例如白色字体）向 AI Agent 发送不易察觉的指令，迫使 Agent 按照攻击者的意图执行操作，进而将用户的敏感数据发送到外部地址。专家对此警告称，这一安全漏洞可能对用户的隐私安全构成严重威胁。

提示词注入攻击是一种通过操控 AI 系统输入的方式，利用系统对指令的处理逻辑来实现恶意目的的攻击形式。在这类攻击中，攻击者可以在文档中添加一些不容易被察觉的提示词或指令。当用户将文件上传给 AI Agent 进行处理时，Agent 会错误地执行这些隐藏的命令，进而泄露用户的敏感数据或执行其他不当操作。

例如，攻击者可能会将恶意提示词隐藏在 PDF 文件中的白色文本里，这些文本对于正常用户而言是不可见的，但 AI Agent 在处理文件时却可能会读取并执行这些提示词。这种攻击方式通常不会被用户察觉，且通过伪装成无害文件的方式，极大地提高了攻击的成功率。

除了技术手段外，研究人员还指出，提示词注入攻击往往结合了社会工程学的策略，进一步提高攻击的成功率。攻击者可能会通过伪装成权威来源、制造紧迫感或提供虚假安全保证等方式来诱导用户下载并上传恶意文件。例如，攻击者可能会伪装成一个企业内部通知或紧急更新文件，诱使用户轻松忽略潜在的安全风险。

此外，攻击者也可能利用各种技巧来增强文件的可信度，让受害者更容易相信文件的合法性。这使得用户难以察觉文件中的恶意代码，进一步加大了防范难度。

针对这一潜在的安全漏洞，专家建议用户应当提高警惕，采取以下措施以降低风险：

1. 避免上传不明来源的文件：用户应当避免向 AI Agent 上传来自不明或可疑来源的文件，尤其是 PDF 等文档。对于来源不明的文件，应尽量避免打开或上传，以防其中藏有恶意提示词。

2. 严格限制 Agent 的外网访问和数据导出权限：为了减少敏感数据泄露的风险，用户可以在使用 AI Agent 时，严格限制其对外部网络的访问权限，并对数据导出进行严格的管控，确保不会因处理恶意文件而导致数据泄漏。

3. 进行去隐写/清洗操作并人工复核：专家建议，在上传文件之前，用户可以使用去隐写工具或其他技术手段对文件进行清洗，以去除隐藏的恶意提示词。此外，重要文件应当由人工进行复核，确保文件的安全性和合法性。

4. 增加确认步骤：AI Agent 在进行外部提交或执行操作前，应弹出明确的确认提示，要求用户对操作进行确认，避免误操作或受到攻击者指令的影响。

尽管 Notion 的 AI Agents 功能提升了工作效率，但其潜在的安全隐患也不容忽视。提示词注入攻击通过社会工程学手段和技术漏洞相结合，可能会导致用户的敏感数据外泄。因此，用户在使用 AI Agents 时，务必增强安全意识，遵循专家的建议，避免上传不明文件，并采取相应的防护措施，以降低安全风险。这不仅是对个人隐私的保护，也是对信息安全的基本保障。