关键词

漏洞

安全公司 Noma 发布研究报告,披露开源监控与数据可视化平台 Grafana 的 AI 助手功能中存在一项名为 "GrafanaGhost" 的安全漏洞,允许黑客利用 " 间接提示注入 "(Indirect Prompt Injection)方式诱导 AI 助手泄露企业敏感数据至外部服务器。

据介绍,Grafana 内置的 AI 助手支持用户通过自然语言查询与分析监控数据。但研究人员发现,黑客可以在 Grafana 可访问的外部网页中嵌入恶意指令。当 AI 助手解析这些内容时,可能被误导绕过既有安全机制,并触发对外请求,将敏感信息以 URL 参数形式发送至黑客控制的服务器,由于整个过程不会产生明显报错提示,用户往往难以及时察觉异常。

打开网易新闻 查看精彩图片
打开网易新闻 查看精彩图片

对此,安全媒体 Hackread 援引 Grafana 开发方 Grafana Labs 首席安全官 Joe McManus 的说法称,公司在收到通报后已迅速修复相关问题。同时其强调,该漏洞并不属于 " 零点击 "(zero-click)或 " 自主攻击 "(autonomous exploit)类型,黑客本身需要先获得用户端权限,才能主动与 AI 助手交互,同时需要多次触发才能实现恶意操作。

Grafana Labs 进一步表示,目前没有证据表明该漏洞已被实际利用,也未发现 Grafana Cloud 有数据泄露的情况。相应问题属于特定条件下、由用户操作触发的风险场景,而非完全自动化、无感知的 AI 攻击,因此呼吁平台用户无需紧张。

打开网易新闻 查看精彩图片

安全圈

打开网易新闻 查看精彩图片

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!