index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
知名办公协同SaaS平台Asana近期因其新推出的MCP服务中存在的漏洞,导致客户敏感数据可能被其他用户访问。该漏洞持续了一个多月,涉及范围包括任务信息、项目元数据等。Asana已紧急下线并修复了该服务,建议客户检查访问日志和权限控制,以确保数据安全。此次事件凸显了SaaS平台在整合AI功能时面临的安全挑战,以及对用户数据隐私保护的重要性。
🚨 Asana推出的MCP服务存在漏洞,导致客户数据可能被其他用户访问。该漏洞并非黑客攻击引起,而是由于MCP系统内部的逻辑漏洞所致。
📅 漏洞持续时间超过一个月。Asana于5月推出MCP服务,6月4日发现漏洞,影响期间客户数据可能面临暴露风险。
💡 泄露数据类型多样。可能被暴露的数据包括任务层级信息、项目元数据、团队细节、评论与讨论内容,甚至已上传的文件。
✅ Asana已采取补救措施。包括紧急下线MCP服务,并在12天后完成修复。同时,建议客户审查MCP访问日志和权限控制,确保数据安全。
📢 影响范围和应对措施。此次事件影响了约1000家客户。Asana已向受影响组织发出通知,并建议客户限制大模型整合功能,暂停自动重连等操作。
带你读懂网络安全
美国知名办公协同SaaS平台Asana披露,5月推出的MCP服务存在漏洞,可能导致客户敏感数据被平台其他用户访问;
该漏洞存在时间超一个月,Asana发现后紧急下线了MCP服务,12天后完成修复上线;
Asana建议,客户应检查MCP访问日志和权限控制,确保没有残余风险。
安全内参6月19日消息,美国知名工作管理平台Asana警告称,其新推出的模型上下文协议(MCP)功能在实施过程中存在缺陷,可能导致用户实例中的数据被其他用户访问。此次数据暴露是由于MCP系统内部存在逻辑漏洞所致,并非黑客攻击所引起。但在某些情况下,其所带来的风险仍可能十分严重。
美国上市公司Asana推出的项目与任务管理SaaS平台Asana,广泛用于组织内部的工作规划、任务分配、截止日期设置及协作管理,所有功能均通过统一界面进行。截至去年,该平台已在全球190个国家拥有超过13万家付费客户,以及数百万免费用户。
5月1日,Asana推出了整合大语言模型的MCP服务器功能,提供包括摘要生成、智能回复、自然语言查询等在内的AI能力。然而,由于MCP服务器中的一个软件漏洞,Asana各实例中的数据可能被其他MCP用户访问。尽管数据访问范围受限于各用户的权限设定,但仍存在一定程度的数据暴露风险。这意味着,虽然各组织的完整Asana工作区并未完全泄露至公共领域,但拥有MCP访问权限的其他组织用户,可能会看到来自不同域的部分内容,包括由聊天机器人生成的查询结果。根据整合类型及与聊天机器人的交互情况,可能被暴露的数据包括任务层级信息、项目元数据、团队细节、评论与讨论内容,甚至包括任何已上传的文件。Asana于6月4日发现此次数据暴露背后的逻辑漏洞,这意味着跨组织的数据泄漏问题已经持续了一个多月。鉴于Asana在组织内部往往承担重要职能,本次泄露事件可能涉及敏感信息,对受影响实体在隐私保护与合规方面带来复杂挑战。
因此,建议管理员审查Asana的MCP访问日志,并检查所有AI生成的摘要与回答内容;发现疑似来自其他组织的数据,应立即进行上报。同时,建议将大模型整合功能设置为受限访问,并暂停自动重连与机器人流程,直到确认无残余风险并重建信任。Asana已向所有受影响组织发出通知,并提供附带沟通表单的链接,但尚未就该事件发布公开声明。外媒BleepingComputer就此事联系Asana,一位发言人回应称,本次事件影响了约1000家客户。
Asana MCP服务器已于6月5日被临时下线。官方状态页面显示,该服务在6月17日17:00(UTC时间)按计划恢复正常运行。
参考资料:bleepingcomputer.com
点击下方卡片关注我们,带你一起读懂网络安全 ↓
📍发表于:中国 北京
🔗️ 阅读原文
