你的AI助手,可能正在悄悄把数据送出去

很多企业并不是先把AI装进聊天机器人里。

更常见的做法，是把AI接进已经在跑业务的系统里。客服系统、知识库系统、代码平台、监控平台、数据分析平台，都是这样。Grafana就是很典型的一种。它本来是企业用来查看系统状态、业务指标、日志、告警和各种遥测数据的观测平台，而Grafana Assistant则把自然语言能力接了进去，让运维、开发和SRE可以直接在里面查数据、做分析、发起调查。

如果你对Grafana这个名字不熟，可以把它理解成很多企业的“运行中枢”或者“业务仪表盘”。

问题也恰恰出在这里。

当这样一个本来就握着大量内部数据的平台，再装上一个能看数据、能理解上下文、还能驱动工作流的AI助手，风险就不再只是“AI会不会胡说”。

而变成了另一件更现实的事：AI会不会把它看到的数据，顺着某条看起来正常的功能链路，悄悄带出去。

最近被披露的GrafanaGhost，真正值得看的就是这个。它不是一个孤零零的技术漏洞新闻，而是一次很具体的提醒：企业接入AI之后，最危险的地方，往往不是模型本身，而是把模型连到数据源、前端渲染、外部请求和各种工具上的那层“胶水”。

根据Noma Security和CyberScoop的披露，GrafanaGhost的攻击思路并不复杂到只有安全研究员才看得懂。简单说，就是攻击者想办法把一段恶意指令埋进Grafana会读取的外部内容里，让AI把这段内容当成正常上下文，然后再利用图片渲染和URL校验链路，把敏感数据通过一个外部请求带到攻击者服务器。整个过程中，真正被利用的不是“某一句提示词”，而是一整条从外部内容进入模型、再从模型输出触发前端行为的链路。

这也是为什么这条新闻比普通的Prompt Injection更有现实感。

很多人一听“提示词注入”，脑子里想到的还是那种很浅的场景：有人给模型一句“忽略前文”，模型就开始乱说话。

但GrafanaGhost不是这个层级。

它打的不是回答质量，而是系统行为。OWASP对间接提示词注入的定义很清楚：只要模型会读取网页、文件等外部内容，这些内容就可能改变模型行为，进一步导致敏感信息泄露、未授权调用功能，甚至让连接系统执行意料之外的动作。

说得更直接一点。

过去大家担心的是，模型会不会答错。

现在更该担心的是，模型会不会做错。

而GrafanaGhost最让企业后背发凉的地方，就在于它展示了这种“做错”是怎么发生的。

按照Noma披露的链路，攻击至少利用了三层薄弱点。

第一层，是找到间接提示能被存储并再次处理的位置。

第二层，是利用protocol-relative URL这种细节，绕过前端对外部图片地址的校验。Noma给出的例子很典型：以//开头的地址，在字符串匹配里可能看起来像相对路径，但浏览器会把它当成真正的外部域名来请求。

第三层，是继续绕过模型自己的护栏，让模型愿意生成那个会触发外部请求的内容。Noma称他们通过“INTENT”这个关键词进一步削弱了模型的防护判断。

看到这里，你会发现一件很关键的事：每一层单独看，好像都不是世界末日。

一段外部内容，被模型读了一下；一个图片地址，被前端渲染了一下；一次浏览器请求，发到了外部域名。

但把它们串起来，就成了一条完整的数据外带链。

这正是今天很多企业最容易低估的AI风险。因为企业的安全团队往往习惯按模块看问题：权限归权限，前端归前端，模型归模型，插件归插件，网络归网络。

可AI应用不是这么工作的。

AI最有价值的地方，恰恰在于它会跨模块串起这些能力。它会读知识库，查数据库，看日志，调工具，组织答案，触发渲染，甚至驱动下一步动作。价值越大，链路越长；链路越长，攻击面越宽。Grafana官方对Assistant的介绍里就很清楚：它可以探索遥测、查询Prometheus、Loki、Tempo和SQL数据源，还能发起调查。

所以，GrafanaGhost真正敲打企业的，不是“要不要上AI助手”。

而是“你到底是按什么方式上的AI助手”。

很多企业今天做AI接入，还停留在一个偏乐观的理解里：只要底层模型靠谱，再配一点RBAC、审计和提示词防护，大体就差不多了。

但Grafana官方自己也写得很明确，Assistant确实会走既有的安全、审计和RBAC层。问题在于，**权限正确，不等于链路安全。**一个有权限读取数据的AI，如果还能把输出转成外部请求，那它依然可能成为“合法身份下的异常动作执行器”。

这就是为什么我更愿意把这类问题叫作“胶水层风险”。

模型本身当然重要。

但企业真正容易出事的，往往是模型和业务系统之间那层连接逻辑：什么内容能进上下文，什么输出会触发动作，哪些渲染能力能访问外部资源，插件和MCP能拿到什么权限，浏览器和后端是否允许把结果送出内网。只要这一层没设计清楚，再强的模型护栏也可能被一层又一层地绕过去。Noma在总结里就直接写到：这次发现说明了防御纵深的重要性，也再次证明单纯依赖客户端校验是不够的。

那企业今天真正应该审计什么？

第一，不要只审系统提示词，要审所有外部内容进入模型上下文的入口。网页、日志、附件、知识库切片、第三方插件返回值，只要模型会读，都是攻击面。

第二，不要只看“模型能不能答”，更要看“模型答完以后会触发什么”。输出能不能变成图片、链接、工具调用、脚本、Webhook、外部请求，这些都不能只当UI细节。OWASP专门把“Insecure Output Handling”列在高风险项里，就是因为很多问题并不是出在输入，而是出在系统盲目信任了模型输出。

第三，不要只做RBAC，还要做最小化出站能力。没有必要访问外部网络的组件，就不要给它访问；必须访问的，也要做白名单、代理和审计。因为GrafanaGhost最后能成立，关键一步就是把看似普通的图片加载，变成了对攻击者服务器的真实请求。

第四，不要再把AI Copilot理解成“更聪明的搜索框”。

它本质上是在重构企业内部的数据流、执行流和权限流。只要AI已经连上了核心业务系统，它就不再只是一个会聊天的界面，而是一个真正进入生产链路的执行节点。Grafana的案例之所以震动人，不是因为Grafana特殊，而是因为几乎所有企业都在做同样的事：把AI越来越深地接进关键系统。

GrafanaGhost不是终点。

它更像一个路标。

它告诉所有企业，AI安全这件事，已经开始从“模型会不会胡说”转向“模型会不会顺着系统链路去做错事”。而一旦AI的能力继续往真实工作流里渗透，这类风险只会越来越像主流问题，而不是少数实验室里的边缘案例。

外行看到的，是又一个AI漏洞。

内行真正该看到的，是企业安全审计对象变了。

以后审AI，不能只看模型参数、系统提示词和权限配置。

还要看模型连了谁，看了谁，信了谁，能调谁，最后又能把结果送到哪里。

这才是GrafanaGhost真正留下来的价值。

它不是在提醒你“模型不安全”。

它是在提醒你：当AI开始进入企业系统，最危险的地方，往往不是AI本身，而是你把AI接进系统的方式。