Notion 再次站上了安全争议中心。4 月 19 日,X 平台安全研究人员 impulsive 发文称,任何公开的 Notion 页面都能通过“一次无需登录的 POST 请求”,拿到所有编辑过该页面人员的全名、邮箱地址和头像;他还表示,这个问题早在 2022 年就被报告过,到 2026 年仍然有效。
如果这个描述准确,问题不只是一个接口疏漏,而是权限模型的边界出了错:用户以为自己公开的是页面内容,系统却顺带公开了协作者身份。这对把 Notion 当公司 wiki、产品文档站和对外资料库的团队,是个很现实的风险,因为攻击者不需要入侵,只要会搜公开链接就够了。
Notion 暴露的不是页面内容,而是协作关系
从研究人员给出的说法看,这次暴露的核心是编辑者元数据,而不是整份文档被脱裤。接口返回的信息包括姓名、邮箱、头像,且“zero authentication”,也就是不需要 Cookie、Token 或登录态。这类问题在安全分类里往往不如数据库泄露那样耸动,但在实际利用上很顺手:公开页面一旦能反查编辑者,企业组织结构就被拼出一大块。
我对这件事的判断是:它比普通用户想象得更严重,但也没有严重到“所有 Notion 私密内容失守”。真正的危险在于,很多公司会把公开帮助文档、媒体资料包、活动说明甚至投资者 FAQ 放在 Notion 上,页面内容本身无敏感信息,但编辑者邮箱常常是企业真实邮箱,足够被用于钓鱼、社工和员工画像。
对企业客户最伤:公开知识库会变成钓鱼名单
Notion 过去几年一路从个人笔记工具长成企业协作平台。2021 年它推出企业版扩展能力,2023 年后又把 Notion AI 深度塞进文档、搜索和知识管理流程,越来越多团队把它当“轻量内网 + 对外知识门户”来用。产品角色变了,安全预期也跟着变:用户买的不只是好看的编辑器,还包括对权限边界的信任。
这也是为什么“邮箱暴露”不能被轻描淡写。对外公开的 wiki 页面常由市场、法务、产品、开发支持多人共同维护,一旦这些人的真实邮箱被批量抓取,攻击者就能定向发起看起来很像内部流程的邮件。历史上类似问题并不少见:Atlassian、Confluence 一类协作工具多次出现过“公开空间暴露用户枚举线索”的争议,行业的通常做法是把协作者身份信息默认最小化展示,而不是把后台接口完整敞开。
谁会更难受,一张表就够了
这件事不是每类用户都同样受影响,差别主要取决于你是否在用公开页面做协作分发。
| 受影响对象 | 眼前风险 | 最现实的后续动作 |
|---|---|---|
| 企业 IT / 安全部门 | 员工邮箱被批量采集,钓鱼面扩大 | 盘点公开 Notion 页面,临时下线或转私有 |
| 市场、内容、招聘团队 | 对外资料页编辑者身份外露 | 改用群组邮箱或单独的发布账号 |
| 普通个人用户 | 头像、邮箱被陌生人关联 | 检查个人主页、简历页、作品集是否公开 |
| OSINT 研究者、攻击者 | 可低成本建立组织关系图 | 批量搜集页面并关联公司域名 |
如果你是企业管理员,接下来最现实会遇到的不是“要不要换掉 Notion”,而是合规和采购团队会追问两个问题:公开页面还能不能继续用;如果继续用,是否要统一改成匿名发布流程、共享邮箱或机器人账号。这些都是会立刻增加管理成本的动作。
争议点在于:这是漏洞,还是产品默认行为设计失当
目前公开信息主要来自研究人员在 X 的帖子,Notion 方面是否已修复、是否认可为安全漏洞、接口返回是否受页面类型或工作区设置限制,仍然缺少官方说明。这是当前最关键的限制条件。因为有些 SaaS 厂商会把“公开页面可见的作者信息”解释为产品设计,而不是漏洞;但如果邮箱地址在未登录状态下通过隐藏接口被完整返回,这个解释就很难站住脚。
这里还有一个原帖没展开的变量:很多企业启用了自定义域名、SSO 和成员目录限制,却未必意识到公开页面旁边还挂着一条可枚举的身份接口。公开说法常常是“只公开你选择公开的内容”,行业现实却是,协作产品会在页面之外暴露大量元数据,包括作者、修改历史、页面 ID、工作区结构。真正成熟的企业客户,会把这些都算进风险模型里。
短期内,Notion 最需要做的不是公关,而是给出明确边界:哪些字段会返回、对哪些页面生效、是否已经下线邮箱字段、历史上是否收到过报告。如果没有这套说明,企业客户会把问题理解为更大的治理失控,而不只是一个接口 bug。