Noma stieß auf die Schwachstelle bei der Suche nach Stellen, an denen Nutzer mit Grafanas KI-Komponenten interagieren – denn jede nutzerzugewandte Funktion bietet eine Angriffsfläche für Prompt-Injection. Nach einigem Ausprobieren fanden die Forscher heraus, wo indirekte Prompts verarbeitet werden, und identifizierten Bild-Tags als brauchbaren Weg, einen bösartigen Befehl unterzubringen.
Zwar sind externe Bilder gegen solche Angriffe abgesichert, doch Noma umging diese Schutzmechanismen: Mit protokollrelativen URLs ließ sich die Domain-Prüfung aushebeln, und das Schlüsselwort „INTENT" schaltete die Schutzvorkehrungen des KI-Modells ab. Dadurch interpretierte Grafana einen externen Prompt als harmlos. Sobald das Bild zu rendern beginnt, fließen die Daten ab, ohne dass das Opfer es bemerkt.
Laut Sasi Levi, Leiter der Sicherheitsforschung bei Noma Security, setzt der Angriff nicht zwingend voraus, dass ein Verteidiger einen Link zu einer bösartigen Seite anklickt. Der Angreifer müsse seinen indirekten Prompt lediglich an einem Ort hinterlegen, den Grafanas KI-Komponenten später abrufen und verarbeiten. „Sobald diese Nutzlast im Datenspeicher liegt, wartet sie und löst automatisch aus, wenn ein Nutzer eine ganz normale Interaktion mit seiner Grafana-Instanz durchführt", erklärt Levi. Der Nutzer sei der unwissentliche Auslöser, nicht das Ziel eines Phishing-Versuchs – das mache den Angriff so unauffällig.
Noma lobte die Reaktion von Grafana: Nach der verantwortungsvollen Offenlegung habe sich das Unternehmen „sofort der Sache angenommen", die Befunde gemeinsam mit Noma geprüft und so schnell wie möglich einen Fix ausgerollt. Joe McManus, Chief Information Security Officer von Grafana Labs, bestätigt gegenüber Dark Reading per E-Mail, dass Nomas Forschung ein Problem mit dem Bild-Renderer in der Markdown-Komponente aufgezeigt habe, das „schnell gepatcht" worden sei.
Das Unternehmen widerspricht jedoch der Einordnung als „Zero-Click"-Angriff, wie Noma ihn beschreibt, ebenso der Darstellung, er könne lautlos und eigenständig im Hintergrund ablaufen. Eine erfolgreiche Ausnutzung hätte laut McManus erhebliche Nutzerinteraktion erfordert: Der Endnutzer hätte den KI-Assistenten wiederholt anweisen müssen, bösartigen Anweisungen aus Logs zu folgen – und das, obwohl der Assistent den Nutzer auf diese Anweisungen hingewiesen habe. Es gebe keine Hinweise auf eine Ausnutzung in freier Wildbahn, und aus Grafana Cloud seien keine Daten abgeflossen.
Levi hält dem entgegen, der Exploit erfordere „weniger als zwei Schritte", und der KI-Assistent habe dem Nutzer zu keinem Zeitpunkt eine Warnung über bösartige Anweisungen im Log angezeigt. „Es gab keine Warnung, keine Markierung, keine Aufforderung zur Bestätigung", so Levi. Das Modell habe die indirekte Prompt-Injection eigenständig verarbeitet, den Log-Inhalt als legitimen Kontext gewertet und still danach gehandelt – ohne den Nutzer zu benachrichtigen. Man respektiere Grafanas schnelle Reaktion, könne eine seiner Ansicht nach unzutreffende Darstellung der Exploit-Mechanik aber nicht unwidersprochen lassen.
