开源平台Grafana AI助手曝高危漏洞 可泄露企业敏感数据

2026年4月14日，安全公司Noma披露了Grafana Labs开发的开源监控与数据可视化平台Grafana，其内置AI助手存在名为“GrafanaGhost”的高危安全漏洞。该漏洞属于间接提示注入类漏洞，黑客可通过嵌入恶意指令诱导AI助手绕过安全机制，将企业存储在平台内的敏感监控数据窃取至黑客控制服务器，目前漏洞已完成官方修复。

作为全球使用率最高的开源监控与数据可视化工具，Grafana被绝大多数科技企业用于运维数据监控、业务指标可视化，平台本身会存储大量涉及企业核心业务的敏感信息，包括服务器配置、访问日志、业务核心指标等。

此次曝光的GrafanaGhost漏洞，利用的就是AI助手整合外部内容查询时的逻辑缺陷，属于典型的间接提示注入攻击。黑客只需要在Grafana AI助手可爬取的公开网页中嵌入隐藏的恶意提示指令，当AI助手读取该网页内容开展分析时，恶意指令就会绕过现有安全校验，诱导AI助手将抓取到的企业敏感数据，以URL参数的形式发送到黑客控制的外部服务器。

整个攻击过程不会触发平台报错，也不会向用户展示任何异常提示，用户在完全不知情的情况下就完成了整个数据泄露流程，隐蔽性极强。

针对Noma披露的漏洞，Grafana Labs首席安全官Joe McManus公开回应称，该漏洞属于“非零点击”漏洞，虽然攻击需要满足AI助手开启外部内容访问权限等前提条件，但一旦利用成功会带来严重的数据泄露风险，潜在危害不可忽视。