Grafana 开源监控系统遭提词漏洞攻击,黑客利用AI助手窃取公司机密
发布时间:2026-04-14 10:50:52 | 责任编辑:张毅 | 浏览量:6 次
安全公司 Noma 近日发布研究报告,披露了开源监控与数据可视化平台 Grafana 的 AI 助手功能中存在的一项名为“GrafanaGhost”的安全漏洞。该漏洞允许黑客利用“间接提示注入”方式,诱导 AI 助手将企业的敏感数据泄露至外部服务器。
“间接提示注入”:静默的数据窃取
据研究人员介绍,Grafana 内置的 AI 助手允许用户通过自然语言查询和分析监控数据。然而,黑客可以在 Grafana 能够访问的外部网页中嵌入恶意指令。
当 AI 助手解析这些受污染的内容时,可能会被误导绕过现有的安全机制,触发对外请求。敏感信息会以 URL 参数的形式发送到黑客控制的服务器。由于整个过程不会产生明显的报错提示,普通用户往往难以察觉异常。
官方回应:非零点击漏洞,现已修复
针对这一漏洞,Grafana Labs 首席安全官 Joe McManus 表示,公司在收到通报后已迅速修复了相关问题。他同时强调了该漏洞的局限性:
非自动化攻击: 该漏洞不属于“零点击”或“自主攻击”类型。
权限入门: 黑客需要先获得用户端的访问权限,才能主动与 AI 助手交互。
多次触发: 实现恶意操作通常需要多次交互触发,而非一次性完成。
Grafana Labs 进一步表示,目前没有证据表明该漏洞已被实际利用,也未发现其云服务(Grafana Cloud)存在数据泄露的情况。官方呼吁用户无需过度紧张,并建议及时关注并更新至已修复的安全版本,以确保监控环境的安全性。
本网站(https://aigc.izzi.cn)刊载的所有内容,包括文字、图片、音频、视频等均在网上搜集。
访问者可将本网站提供的内容或服务用于个人学习、研究或欣赏,以及其他非商业性或非盈利性用途,但同时应遵守著作权法及其他相关法律的规定,不得侵犯本网站及相关权利人的合法权利。除此以外,将本网站任何内容或服务用于其他用途时,须征得本网站及相关权利人的书面许可,并支付报酬。
本网站内容原作者如不愿意在本网站刊登内容,请及时通知本站,予以删除。
