Wir haben @NotionHQ dazu gebracht, deine privaten Notion-Seiten zu leaken 💀 Am Donnerstag kündigte @NotionHQ Notion 3.0 mit Unterstützung für benutzerdefinierte Agenten unter Verwendung von MCP (entwickelt von @AnthropicAI) an – mächtig, aber gefährlich. @simonw nennt diese mit MCP verbundenen Angriffe die "tödliche Trifecta": die Kombination aus LLMs, Tool-Zugriff und persistentem Gedächtnis. Das Web-Suchtool von Notion akzeptiert Freitextanfragen als Eingabe. Mit einer einfachen indirekten Eingabeaufforderungsinjektion haben wir das Web-Suchtool dazu gebracht, private Notion-Seiten an einen vom Angreifer kontrollierten Server zu exfiltrieren. Jetzt, da Notion MCPs unterstützt, können Eingabeaufforderungsinjektionen aus vielen Quellen kommen (GitHub, Jira, E-Mail usw.). Die Hinzufügung von KI-Agenten zu Notion stellt ein erhebliches Sicherheitsrisiko dar; es reicht eine einzige Eingabeaufforderungsinjektion, damit private Daten geleakt werden. Lies den Bericht: #makewithnotion