La versión 3.0 de Notion ha llegado con novedades interesantes, entre ellas la incorporación de agentes de inteligencia artificial capaces de realizar tareas complejas de forma automática. Sin embargo, esta actualización también ha revelado una vulnerabilidad crítica: personas con malas intenciones podrían usar una técnica relativamente sencilla para extraer y enviar datos sensibles a servidores externos usando esos mismos agentes de IA.
El problema principal radica en que estos agentes combinan tres características que los hacen especialmente riesgosos: pueden utilizar herramientas por sí solos, planificar acciones de forma autónoma y acceder a información confidencial de la empresa. Así, si un atacante logra manipular las instrucciones del agente, puede hacer que este ejecute una serie de acciones complejas que evaden los controles de seguridad comunes.
Según investigadores de CodeIntegrity, el ataque es más simple de lo que parece. El atacante crea un archivo PDF que a primera vista parece inofensivo, pero dentro incluye un texto con instrucciones maliciosas disfrazadas de una "tarea rutinaria importante" del sistema interno. Este texto usa técnicas de manipulación psicológica, presentándose como una acción crítica que debe completarse para evitar “consecuencias” en la empresa, además de emplear terminología técnica para dar la impresión de que está autorizada y es legítima.
Cuando un usuario le pide al agente de Notion que resuma el documento, el agente interpreta esas instrucciones ocultas como órdenes genuinas. A partir de ahí, el agente busca información confidencial dentro de las páginas de Notion del usuario, la junta en una URL maliciosa y luego utiliza la función de búsqueda web para enviar esos datos a un servidor controlado por el atacante, donde quedan almacenados.
Lo más preocupante es que esta vulnerabilidad no se limita a archivos PDF cargados manualmente. Notion 3.0 se conecta con muchos servicios empresariales como GitHub, Gmail o Jira, cualquiera de los cuales podría ser usado para inyectar instrucciones maliciosas sin que el usuario lo note. Incluso modelos de inteligencia artificial avanzados, considerados muy seguros como Claude Sonnet 4, han demostrado ser vulnerables a este tipo de ataques.
Esto implica un riesgo serio para las empresas que usan agentes de IA para gestionar su información, pues técnicas como la “inyección de instrucciones” pueden permitir que estos agentes ejecuten acciones autónomas maliciosas. Por eso, las organizaciones que adoptan la inteligencia artificial deben revisar y fortalecer sus protocolos de seguridad, implementando medidas específicas para prevenir este tipo de amenazas.
