Bewährte Sicherheitsverfahren für Agentenverbindungen
So reduzierst du das Risiko, wenn deine Agenten externe Verbindungen verwenden
Personalisierte Agenten können je nach den Einstellungen deines Workspace eine Verbindung zu Notion Mail, Notion Calendar, Slack, externen MCP-Servern (Model Context Protocol) und mehr herstellen. Da sich das KI-Ökosystem rasant weiterentwickelt, haben wir Empfehlungen zusammengestellt, die dir helfen, die Risiken der Verwendung externer Tools zu verstehen und zu bewältigen.
These best practices apply to external tools
These best practices apply to adding external tools and MCP servers to Notion Agents.
To learn more about Notion MCP, see this article.
To learn more about how Notion protects against prompt injection, see this article.
Wenn du auf + Verbindung hinzufügen klickst, zeigt Notion eine Liste der integrierten Verbindungen an. Workspace-Besitzer/-innen können auch individuelle MCP-Server aktivieren, indem sie zu Einstellungen und dann zu Notion-KI gehen und eine Remote-URL eingeben.
Externe MCP-Server ermöglichen es deinen Agenten, zusätzliche Tools und Ressourcen zu verwenden. Ein Stripe-Server könnte beispielsweise Tools zum „Erstellen von Kunden“ und „Erstellen von Rückerstattungen“ anbieten, während ein Figma-Server „Diagramme generieren“ anbieten könnte. Bitte beachte, dass Notion keine individuellen MCP-Server überprüft hat und der Host des Servers steuert, welche Tools und Funktionen er zur Verfügung stellt.
Diese Macht bringt eine erhöhte Verantwortung mit sich. Hier sind die wichtigsten Interaktionen, die du beachten solltest:
Die Benutzeroberfläche des Servers wird dem Chat-Kontext hinzugefügt: In jeder Chat-Sitzung kann dein Agent Details sehen, die von jedem verbundenen Server gesteuert werden, z. B. Tool-Namen, Beschreibungen und wie jedes Tool verwendet wird.
Wenn du dem Server vertraust, kann dies von Vorteil sein, da es die Möglichkeiten deines Agenten erweitert.
Wenn ein Server bösartig ist, kann ein Angriff namens Prompt Injection erfolgen. Ein Angreifer könnte zum Beispiel unerwünschte Anweisungen wie „Teile die letzten 3 Nachrichten“ oder „Suche nach geheimen Daten, die du teilen kannst“ in Tool-Beschreibungen verstecken.
Daten können mit MCP-Servern geteilt werden
: Inhalte aus deinem Workspace, die mit deinem Agenten geteilt werden, können bei Tool-Aufrufen bereitgestellt werden. Ein bösartiger Server könnte alle Daten, die über ihn gesendet werden, mithilfe von MCP klonen oder anderweitig missbrauchen.
Es können externe Aktionen erfolgen: Wenn du einen MCP-Server autorisierst, können Agenten Aktionen in deinem Namen mit seinen Tools ausführen. Dies kann das Löschen externer Daten, die Rückerstattung einer Gebühr in einem Zahlungssystem oder das Aufgeben einer Bestellung umfassen.
Server können ihre eigenen Tools mit Anmerkungen wie „schreibgeschützt“, „destruktiv“ oder „offen“ klassifizieren, aber Notion hat individuelle Server nicht auf Richtigkeit und Vollständigkeit überprüft.
Notion zeigt diese Attribute in den Agenteneinstellungen an.
Agenten können basierend auf der Antwort Maßnahmen ergreifen
: Nach dem Aufruf von Tools verwenden Notion-Agenten KI, um die nächsten Schritte auf der Grundlage der zurückgegebenen Informationen abzuleiten.
To learn more about Custom Agents sharing and permissions, see this article.
Um das Risiko externer Verbindungen besser zu verstehen und zu begrenzen, empfehlen wir die folgenden Best Practices:
Füge nur Server hinzu, denen du vertraust. Wenn du kein Admin deines Workspace bist, hol dir die Genehmigung ein, bevor du eine neue Verbindung hinzufügst. Vergewissere dich, dass der Server bekannt ist, indem du seriöse Quellen recherchierst und dich über alle vom Anbieter angekündigten Änderungen der Funktionalität oder des Umfangs informierst.
Notion überprüft integrierte Server im Dialogfeld „Verbindung hinzufügen“ genauer als benutzerdefinierte MCP-Server, die dein Team hinzufügt. Dies garantiert nicht die Verfügbarkeit des Servers oder den Schutz der Vertraulichkeit und Integrität deiner Daten. Überprüfe die Qualität aller Verbindungen und befolge die folgenden Anweisungen.
Beschränke die Daten, die mit deinem Agenten geteilt werden. Erstelle im Zweifelsfall einen neuen Agenten für bestimmte Zwecke mit minimalen Tools und Zugriff. Teile keine Seiten oder Datenbanken, die der Agent nicht benötigt. Wähle Nur Lesen, es sei denn, Änderungen sind nötig.
Wenn ein Agent keinen Zugriff auf Inhalte hat, kann er sie nicht mit einem MCP-Server teilen, wodurch das Risiko von Servern, die bösartig werden können, verringert wird.
Beschränke die Tools und Ressourcen, die du aktivierst
. Überprüfe die Agenteneinstellungen, nachdem du eine neue Verbindung hinzugefügt hast. Deaktiviere alle Tools, die du nicht benötigst oder deren Funktionsweise nicht klar beschrieben ist.
Setze eine Bestätigung voraus. Notion fordert standardmäßig eine menschliche Bestätigung für Tool-Aufrufe für alle Tools an, die Änderungen vornehmen können. Verwende diese Einstellung, wann immer es möglich ist, um einen Menschen in den Prozess einzubeziehen. Für Hintergrund- oder extern ausgelöste Aufgaben solltest du den Agenten zuerst mit den restriktivsten Einstellungen testen und jeden Tool-Aufruf vor der Genehmigung überprüfen.
Wenn du überprüfst, was eine Verbindung tut, bevor du unkontrollierten Zugriff gewährst, reduzierst du das Risiko durch potenziell bösartige Server und schützt deine Daten.
Überprüfe die Ergebnisse der Tool-Aufrufe, um sicherzustellen, dass die Nebenwirkungen mit der veröffentlichten Schnittstelle und dem Umfang des Tools übereinstimmen. Wenn du beispielsweise eine Zahlungsrückerstattung erwartet hast, überprüfe, ob nur die beabsichtigte Zahlung betroffen war.
