文章总结： 安全公司Noma披露Grafana平台的AI助手存在GrafanaGhost漏洞，攻击者可通过间接提示注入方式诱导AI助手将企业敏感数据泄露至外部服务器。该漏洞需攻击者先获得用户权限并多次交互触发，不属于零点击攻击。GrafanaLabs已修复漏洞，目前无证据表明被实际利用，建议用户及时更新系统。 综合评分： 78 文章分类： 漏洞分析,AI安全,威胁情报,漏洞预警,应用安全

【安全圈】开源监控平台 Grafana 曝漏洞，黑客可诱导 AI 助手泄露企业数据

安全圈

2026年4月14日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

安全公司 Noma 发布研究报告，披露开源监控与数据可视化平台 Grafana 的 AI 助手功能中存在一项名为 “GrafanaGhost” 的安全漏洞，允许黑客利用 ” 间接提示注入 “（Indirect Prompt Injection）方式诱导 AI 助手泄露企业敏感数据至外部服务器。

据介绍，Grafana 内置的 AI 助手支持用户通过自然语言查询与分析监控数据。但研究人员发现，黑客可以在 Grafana 可访问的外部网页中嵌入恶意指令。当 AI 助手解析这些内容时，可能被误导绕过既有安全机制，并触发对外请求，将敏感信息以 URL 参数形式发送至黑客控制的服务器，由于整个过程不会产生明显报错提示，用户往往难以及时察觉异常。

对此，安全媒体 Hackread 援引 Grafana 开发方 Grafana Labs 首席安全官 Joe McManus 的说法称，公司在收到通报后已迅速修复相关问题。同时其强调，该漏洞并不属于 ” 零点击 “（zero-click）或 ” 自主攻击 “（autonomous exploit）类型，黑客本身需要先获得用户端权限，才能主动与 AI 助手交互，同时需要多次触发才能实现恶意操作。

Grafana Labs 进一步表示，目前没有证据表明该漏洞已被实际利用，也未发现 Grafana Cloud 有数据泄露的情况。相应问题属于特定条件下、由用户操作触发的风险场景，而非完全自动化、无感知的 AI 攻击，因此呼吁平台用户无需紧张。

END

阅读推荐

【安全圈】黑客利用 Claude 和 ChatGPT 入侵多家墨西哥政府机构

【安全圈】国际联合行动识别超 2 万名加密货币诈骗受害者

【安全圈】十亿条 CISA KEV 修复记录分析揭示人力安全模式的极限

【安全圈】知名电脑检测软件 CPU-Z、HWMonitor 被入侵！安装包被投毒 开发者回应

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】开源监控平台 Grafana 曝漏洞，黑客可诱导 AI 助手泄露企业数据》