Asana kļūda jaunā AI funkcijā, iespējams, vairākas nedēļas ir atklājusi datus citiem lietotājiem

Kļūda vienā no Asanas jaunajām AI funkcijām padarīja lietotāju informāciju pieejamu citiem lietotājiem vairākas nedēļas.

Uzņēmums sacīja, ka šī problēma ir atrisināta, un tas nebija ļaunprātīgas hakera rezultāts. Tā vietā tas, šķiet, ir loģiska kļūda tās MCP (Modeļa konteksta protokols) serveris, kas tika izlaists 1. maijā, saskaņā ar kiberdrošības firmu Augšupvērsts (caur Bleepingcomputer).

MCP ir atvērtā koda sistēma, kas ļauj AI palīgiem mijiedarboties ar vietnēm un lietotnēm. Asana MCP servera ieviešana ļāva uzņēmumiem integrēt AI funkcijas, piemēram, apkopošanu un dabiskās valodas meklēšanu no LLMS.

Ģeneratīvo AI rīku un jaunu standartu pieaugums, kas ļauj LLM savietojamībai radīt jaunus privātuma jautājumus un palielinātu kiberdrošības risku. MCP serveri ir spīdīgs jauns mērķis hakeriem, un pastāv arī tūlītēju iesmidzināšanas uzbrukumu, žetonu zādzības dangers un vispārējs datu noplūdes pieaugums, jo MCP pieprasa plašu atļauju darboties vienmērīgi, saskaņā ar uz kiberdrošības firmas pīlāra emuāra ierakstu.

Pēc UpGuard teiktā, kļūda “šķiet, ka tā ir daļa no šīs sākotnējās izlaišanas”, un Asana to atklāja 4. jūnijā. Wager šajā laikā Asana lietotāji, kas strādā ar MCP serveri, ir varējuši piekļūt informācijai no citu kontu “projektiem, komandām, uzdevumiem un citiem asana objektiem”, teikts e -pastā, kas, kā ziņots, nosūtīts uz klientiem, kas tiek nosūtīti ietekmētiem klientiem.

Paziņojumā BleepingPomputer, Asana sacīja, ka kļūda ietekmē aptuveni 1000 kontus. Asanai ir vairāk nekā 130 000 uzņēmumu, kas izmanto savu projektu vadības platformu, ieskaitot dažus lielus uzņēmumus, piemēram, Uber, Spotify un Airbnb. (Informācijas atklāšana: Mashable redakcijas komanda izmanto arī Asanu.)

Asana paņēma serveri bezsaistē un informēja klientus, izmantojot MCP serveri 16. jūnijā par kļūdu. “Tiklīdz tika atklāta ievainojamība, mūsu komandas nekavējoties atņēma MCP serveri un atrisināja šo problēmu mūsu kodā,” Asana savā paziņojumā sacīja BleepingComputer. Tikmēr uzņēmums nosūtīja kontakta veidlapu klientiem, kas potenciāli ietekmē, lai apkopotu pilnu ziņojumu par to, kuri uzņēmumi varētu būt pakļauti viņu datiem.

Pagaidām vēl nav skaidrs, vai bija kāds būtisks datu pārkāpums, taču Asana ieteica uzņēmumiem pārskatīt savus žurnālus par piekļuvi MCP un visu informāciju, ko rada viņu AI rīki, un ziņot par to Asanai, ja viņi atrod kādus datus, kas nepieder viņu uzņēmumam.

Atjauninājums: 2025. gada 18. jūnijs, pulksten 13:50 EDT Asana statusa atjauninājumā apstiprināja, ka skartais serveris atkal ir tiešsaistē no 17. jūnija.