ChatGPT для Google Sheets — это плагин для Google Таблиц с искусственным интеллектом, который был запущен OpenAI в прошлом месяце, пользователи могут напрямую обрабатывать данные таблиц через боковую панель с помощью ChatGPT. За менее чем месяц после запуска скачано более 185 тысяч раз.

Однако компания по безопасности PromptArmor обнаружила, что этот плагин имеет права выполнять скрипты, читать и редактировать ваши рабочие книги, и эти права могут быть захвачены злоумышленниками.
Злоумышленник достаточно просто спрятать в общей таблице фразу белого цвета (фон и шрифт белые, невидимая глазу), чтобы украсть всю рабочую книгу вашего Google аккаунта, не вызывая подозрений.
Например, коллега поделился с вами Google Таблицей или вы импортировали открытый набор данных из интернета для использования в своей книге. Это обычные действия, но злоумышленник может спрятать в этих таблицах скрытую белую надпись, которую вы не заметите при открытии.
Когда ChatGPT помогает вам обрабатывать эти данные, эта скрытая команда считывается вместе и активирует выполнение внешнего скрипта.
Скрипт, используя права плагина, отправляет содержимое вашей текущей рабочей книги на сервер злоумышленника.
Затем скрипт ищет в украденных данных ссылки на другие рабочие книги и продолжает их похищать, распространяясь как червь.
В демонстрации PromptArmor одна атака в итоге похитила 12 рабочих книг.
В ChatGPT for Sheets есть настройка безопасности «Перед редактированием требуется подтверждение человека», специально предназначенная для предотвращения несанкционированных действий ИИ.
Но эта атака возможна даже при включенной этой настройке, потому что она срабатывает при выполнении скрипта, а не при редактировании таблицы, что позволяет обойти защиту.
Нажатие кнопки «Стоп» в боковой панели также не остановит уже запущенный скрипт.
Помимо кражи данных, та же уязвимость позволяет злоумышленнику заменить боковую панель на фальшивый интерфейс ChatGPT.
После замены вы будете думать, что общаетесь с настоящим ChatGPT, а на самом деле все ваши вопросы собираются злоумышленником.
Злоумышленник даже может показать фишинговое окно, чтобы вы ввели пароль от OpenAI.
PromptArmor 8 мая отправила отчет об уязвимости в OpenAI, на что получила автоматический ответ.
Далее 12 и 18 мая компания последовательно делала запросы о статусе, но не получила никакого существенного ответа.
27 мая PromptArmor решила опубликовать информацию о проблеме.
Только 31 мая OpenAI официально признала, что «этот отчет был пропущен в их процессе раскрытия информации» и заявила, что уже убрала возможность генерации кода Apps Script моделями,
«что должно устранить риск для пользователей ChatGPT for Google Sheets».
От подачи отчета до устранения уязвимости прошло 23 дня.
Администраторы Google Workspace могут отключить доступ к этому плагину в разделе «Настройки Workspace > Права и роли > ChatGPT для Excel и Google Sheets».