ChatGPT 谷歌表格插件被曝可窃取整个工作簿
OpenAI 上个月推出的 ChatGPT for Google Sheets 插件上线不到四周已获得超过 18.5 万次下载。这个插件允许用户在谷歌表格的侧边栏中通过自然语言操作数据,并支持通过 ChatGPT Connectors 从外部数据源导入信息。
PromptArmor 的安全研究团队发现了这个插件中的严重安全漏洞。攻击者只需在一个看似普通的导入表格中嵌入一行隐藏的提示注入指令——文字使用白色字体隐藏——就能在用户毫不知情的情况下触发完整的攻击链。一次简单的用户查询就能同时触发:批量窃取多个工作簿、显示交互式钓鱼弹窗、替换整个 ChatGPT 侧边栏为攻击者控制的界面,以及对用户表格进行未经授权的修改。
更值得警惕的是,即使用户在设置中明确要求 ChatGPT 在编辑工作表前需手动确认,该攻击依然能够成功。这意味着插件的权限模型存在根本性缺陷——外部脚本的执行权限与用户的人机交互确认机制完全解耦。一旦恶意脚本开始运行,即使用户点击 ChatGPT 侧边栏的「停止」按钮也无法中断执行。
这项安全研究于 5 月 8 日通过邮件提交给 OpenAI,但截至公开披露日(5 月 27 日,已过去 19 天),研究团队仅收到一封自动回复确认邮件,再无任何沟通。OpenAI 的官方文档也未提及插件可能被模型操纵的风险,仅描述了功能限制和数据处理的注意事项。
这起事件暴露了 AI 插件生态中的一个结构性问题:当智能体工具被授予敏感权限(如执行外部脚本、读写工作簿)时,现有的安全模型并未充分考虑间接提示注入的攻击面。随着 AI 智能体越来越多地接入用户数据和工作流,类似的安全漏洞可能成为常态而非例外。