文章总结： Grafana平台AI组件存在GrafanaGhost高危漏洞，攻击者通过间接提示注入技术可实现零点击数据窃取。漏洞成因包括AI执行上下文未沙箱化、工具调用权限过大及渲染策略缺陷。建议采取数据清洗、最小权限原则和内容安全策略等措施加强防护。 综合评分： 85 文章分类： AI安全,漏洞分析,渗透测试,解决方案,安全建设

AI安全案例分析 | Grafana 平台零点击间接注入威胁

原创

天元实验室 天元实验室

M01N Team

2026年4月13日 18:00 北京

在小说阅读器读本章

去阅读

概述

近日，安全研究机构 Noma Security 披露了 Grafana 平台 AI 功能组件中存在的高危安全漏洞，推测为“GrafanaGhost”（案件编号：AIS-DATA-2026-101）。攻击者可利用间接提示注入（Indirect Prompt Injection）技术，在无任何用户交互的“零点击”场景下，诱发 Grafana AI智能体跨越信任边界，非法调用内部查询敏感监控数据，并对外传工具。此漏洞凸显了AI智能体在处理不可信的外部输入时，被转化为“数据外泄执行主体”的严重安全风险。

01 攻击原理核心

GrafanaGhost 漏洞的本质是大数据平面模型（LLM）控制平面与数据平面模型的交互。当 Grafana 的 AI 智能体（Agent）包含恶意指令的外部非受信（如错误日志、外部同样、第三方集成数据）时，未能有效实现上下文隔离。攻击者通过构造特定的语义提示，污染 AI 的上下文窗口，进一步内容劫持 AI 智能体的工具调用逻辑（Tool Calling），从而造成原有安全护栏，执行非预期的备份。

02 攻击流程与层次架构

本漏洞的攻击序列清晰，序列性极强。

从外部输入到最终的数据窃取，攻击主路径可划分为以下四个系统：

第一层：攻击者（外部注入）：

• 构造负载负载（如隐藏指令的偏差日志/指标）
• 入口 Grafana 外部数据源

第二层：AI智能体（应用层劫持）

• 读取受复制上下文（触发来源注入）
• 意图劫持限制（绕过系统提示）

第三层：内部资源（数据核心查询）

• 抢夺合法工具调用权限
• 搜索敏感指标/用户行为数据

第四层：数据外泄（带外传输）

• 数据建模至外部URL（如协议相对路径//attacker.com/?data=）
• 利用继承Markdown/图像渲染触发零点击外传

03 根本成因深度剖析

执行上下文未沙箱化：AI在读取外部日志或数据源时，将其视为最高优先级的“指令”而非“串口数据”。这种解析逻辑缺陷导致了间接提示注入成功的。

工具调用（Tool Calling）权限过大且缺乏审计：AI助手被赋予了直接查询基础数据库（如Prometheus、Loki）的高级权限，并且在执行敏感查询操作前，缺乏人机交互（HITL，人工介入确认）机制。

叠加渲染策略与SSRF防护缺陷：平台在将AI生成的Markdown或图像标签渲染到用户界面时，未严格校验外部域白名单。攻击者利用协议相对URL等技巧绕过基础校验，打通了带外（OOB）数据外传通道。

04 潜在影响评估

• 零点击静默触发：相较于传统社会工程学攻击，GrafanaGhost 彻底摆脱了对用户交互行为的依赖。只要管理员或系统例行调用 AI 助手分析包含恶意载荷的面板、日志或告警条目，攻击逻辑即刻在后台静默触发，利用成本极低。
• 核心监控资产失陷：Grafana 承担着企业统一观测平台与运维数据集成节点的职能，后端深度关联着业务核心指标、基础架构拓扑及各类 API 凭证。漏洞允许攻击者绕过鉴权逻辑，精准提取这些维系业务运行的高价值敏感资产。
• 高度隐蔽性与持续驻留：由于注入指令潜伏在正常的业务日志或外部遥测数据流中，且数据外泄行为高度混淆于常规的静态图片加载请求内，现有的 WAF 过滤规则与 SOC 审计逻辑极难有效识别并拦截此类带外（OOB）攻击行为。

05 缓解措施建议与企业等级防御建议

在AI业务大规模落地的背景下，针对AI智能体应用侧安全，建议采取以下手段：

1. 明确数据与边界指令（数据构造）：在LLM处理外部非置信日志之前，增加专门的清理（清理）层，或强制采用数据格式（如JSON）传递上下文，分割文本中的指令性语气。
2. 收敛AI工具调用权限（最小权限原则）：严格限制AI助手对核心数据库的直接访问权限。对于涉及数据导出的敏感API，必须引入强制的人工中间环节（HITL）。
3. 封堵带外（OOB）外传通道：在接入渲染层实施严格的内容安全策略（CSP），禁止加载未授权的外部域资源；在网络层对可落地平台的出站流量（Egress）进行白管名单控制。

目前，AISS安全智链社区已收录百余条案例，包含多个AI安全风险，感兴趣的读者可前往https://aiss.nsfocus.com/#/ai-cases查看更多人工智能安全相关案例分析与最新研究。

GrafanaGhost再次案例证明，AI智能体在提升运维效率的同时，也成为了数据泄露的新通道。在落地平台这种高度集成敏感数据的场景下，开发者必须重新利用AI与不可信数据之间的信任边界，避免AI沦为“幽灵”数据窃取者。

原文链接：https://noma.security/blog/grafana-ghost/

绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括：漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术，以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究，以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术，从攻击视角提供识别风险的方法和手段，为威胁对抗提供决策支撑。

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：M01N Team 天元实验室 天元实验室《AI安全案例分析 | Grafana 平台零点击间接注入威胁》