2026年4月14日,安全公司Noma披露了Grafana Labs开发的开源监控与数据可视化平台Grafana,其内置AI助手存在名为“GrafanaGhost”的高危安全漏洞。该漏洞属于间接提示注入类漏洞,黑客可通过嵌入恶意指令诱导AI助手绕过安全机制,将企业存储在平台内的敏感监控数据窃取至黑客控制服务器,目前漏洞已完成官方修复。
作为全球使用率最高的开源监控与数据可视化工具,Grafana被绝大多数科技企业用于运维数据监控、业务指标可视化,平台本身会存储大量涉及企业核心业务的敏感信息,包括服务器配置、访问日志、业务核心指标等。
此次曝光的GrafanaGhost漏洞,利用的就是AI助手整合外部内容查询时的逻辑缺陷,属于典型的间接提示注入攻击。黑客只需要在Grafana AI助手可爬取的公开网页中嵌入隐藏的恶意提示指令,当AI助手读取该网页内容开展分析时,恶意指令就会绕过现有安全校验,诱导AI助手将抓取到的企业敏感数据,以URL参数的形式发送到黑客控制的外部服务器。
登录后解锁全文,体验收藏、点赞、评论等完整功能
立即登录