GrafanaGhost隱形攻擊繞過AI防禦企業資料安全拉警報
漏洞說明
Noma Security 說明,該攻擊透過間接提示注入(indirect prompt injection)技術,在Grafana 的AI 模型中注入隱藏指令,利用特定關鍵字繞過AI 的防護措施。儘管Grafana內建針對提示注入的保護,但研究人員發現其邏輯存在缺陷,攻擊者藉由特定格式的網址,能讓Grafana 的安全檢查誤判為安全,但瀏覽器實際上會將其視為危險指令。
風險與影響
若企業未及時修補此漏洞,可能導致敏感資料被外洩,進而影響企業資料安全與客戶信任。攻擊者可透過AI助理功能,將企業內部資料傳送至外部伺服器,造成嚴重資安事件。
應對建議
專家建議加強內部稽核,建立合法AI工具清單,並定期進行安全漏洞掃描,以防範類似提示注入與資料汙染風險。同時,應實施基於角色的存取控制(RBAC),確保只有適當人員能存取敏感資料。