We hebben @NotionHQ ertoe gebracht om je privé Notion-pagina's te lekken 💀 Op donderdag heeft @NotionHQ Notion 3.0 aangekondigd met ondersteuning voor aangepaste agenten met behulp van MCP (gebouwd door @AnthropicAI) — krachtig, maar gevaarlijk. @simonw noemt deze MCP-gerelateerde aanvallen de “dodelijke trifecta”: de combinatie van LLM's, toegang tot tools en persistente geheugen. De webzoektool van Notion accepteert vrije invoer als input. Met een eenvoudige indirecte promptinjectie hebben we de webzoektool misleid om privé Notion-pagina's naar een door de aanvaller gecontroleerde server te exfiltreren. Nu Notion MCP's ondersteunt, kunnen promptinjecties uit veel bronnen komen (GitHub, Jira, e-mail, enz.). Het toevoegen van AI-agenten aan Notion vormt een groot beveiligingsrisico; het kost maar één promptinjectie om privégegevens te lekken. Lees de write-up: #makewithnotion