Investigadores de CodeIntegrity han descubierto una vulnerabilidad crítica en la IA de Notion, especialmente en su versión 3.0 con agentes autónomos, que permite a atacantes robar información sensible de empresas mediante un archivo PDF aparentemente inofensivo. Esta brecha afecta a la gestión de bases de datos, la redacción de documentos y la ejecución de flujos de trabajo automatizados dentro de la plataforma.


Cómo funciona el ataque

El método es sorprendentemente simple y efectivo:

Creación del PDF malicioso con un documento que parece un informe normal.
Instrucciones invisibles insertadas en color blanco sobre blanco, legibles por la IA pero imperceptibles para humanos, simulando órdenes internas preautorizadas.
Procesamiento por la IA al solicitar un resumen del PDF, interpretando las instrucciones ocultas como comandos legítimos.
Exfiltración de datos mediante la función de búsqueda web `functions.search()`, enviando información confidencial a servidores controlados por el atacante.

Riesgos asociados

Exfiltración de datos sensibles con envío de información financiera o personal sin conocimiento del usuario.
Evasión de controles de seguridad, dado que la IA puede eludir mecanismos tradicionales.
Impacto en integraciones potencial con servicios como GitHub, Gmail o Jira, aumentando los vectores de ataque.

Recomendaciones de seguridad

Evitar cargar archivos desconocidos para prevenir el procesamiento de PDFs maliciosos.
Revisar manualmente documentos antes de procesarlos para detectar contenido oculto.
Limitar permisos de la IA restringiendo funciones como búsqueda web o exportación de datos.
Implementar alertas de seguridad para detectar actividades inusuales o exfiltración de información.

Con tanto cuidado que hay que tener, parece que la IA de Notion necesita más cerraduras que la caja fuerte de un banco.