工作管理平台Asana警告用户,其新推出的Model Context Protocol (MCP)功能存在漏洞,可能导致客户数据在不同组织间的泄露。据报道,此数据泄露是由于MCP系统中的逻辑缺陷造成的,而不是黑客攻击的结果。然而,事件引发的风险在某些情况下仍可能是重大的。
Asana于2025年5月1日推出了MCP服务器功能,并与大型语言模型(LLM)集成,实现了AI驱动的摘要、智能回复和自然语言查询等功能。然而,MCP服务器中的软件错误导致Asana实例中的数据暴露给其他MCP用户。虽然泄露的数据仅限于每个用户的访问范围,但其他公司的用户可能会看到来自其他域的某些数据,包括聊天机器人生成的查询。
Asana在6月4日发现了导致数据泄露的逻辑缺陷,这些跨组织的数据泄露已经持续了一个多月。鉴于Asana在组织中的功能角色,这些泄露可能包含敏感信息,可能会为受影响实体带来隐私甚至监管方面的复杂性。为此,建议管理员检查Asana日志中的MCP访问记录,审查生成的AI摘要或答案,并在发现来自其他组织的数据时立即报告。