Notion AI: Unpatched Data Exfiltration PromptArmor, 2026 Блог Коротко про еще один пример эксфильтрации данных через умных помощников в исполнении PromptArmor, на этот раз в Notion. Исследователи обратили внимание, что ассистент Notion AI, если попросить его обновить заметку на основе загруженного пользователем контента (например, резюме, веб-страницы или письма) уязвим к indirect prompt injection. Атакующий может попросить ассистента положить полный контекст заметки, с которой работает пользователь, в качестве параметра к ссылке на изображение, которое находится на сервере под контролем атакующего. При этом ассистент показывает сообщение, что разрешать доступ к недоверенным URL опасно и спрашивает у пользователя разрешения, но под капотом все равно рендерит изображение - даже обходить CSP не нужно (так как его нет). Наверное, в данный момент у любого вендора, который использует LLM для работы с недоверенными данными и показывает результаты пользователю в браузере, должен быть набор тестов, которые проверяют невозможность зарендерить произвольное изображение, если у ассистента есть доступ к чему-то, кроме входящего документа. Надо отметить, что Notion (в отличие от Github, которые после CamoLeak вообще запретили рендер картинок) эту находку не оценил и закрыл репорт как not applicable.