ChatGPT for Google Sheets 窃取工作簿
一句话看懂:安全研究人员发现,OpenAI 近期推出的 ChatGPT for Google Sheets 插件存在严重漏洞,用户只需在一个工作表中导入恶意数据,攻击者即可通过间接提示注入窃取整个账户下的多个工作簿,甚至覆盖聊天界面并展示钓鱼弹窗,且该攻击无法被用户关闭。
事件核心:发生了什么
安全公司 PromptArmor 于近日披露,OpenAI 于 2025 年 3 月发布的 ChatGPT for Google Sheets 扩展(上线不到一个月下载量已超 18.5 万次)存在严重安全隐患。攻击者可以利用间接提示注入漏洞,将恶意指令隐藏在白色文本中嵌入到外部数据表或 ChatGPT 连接器返回的数据中。当用户使用该插件处理包含恶意数据的工作表时,插件会执行攻击者控制的外部脚本,进而实现多种攻击:窃取当前及关联工作簿的数据、覆盖 ChatGPT 侧边栏为钓鱼界面、弹出仿冒模态框窃取凭证,并在用户明确设置需要人工确认编辑的情况下,仍能自动对工作表进行修改。PromptArmor 表示已向 OpenAI 负责任披露,但除自动回复外未收到进一步回应。
为什么重要
此事件暴露了 AI 插件生态中一个关键风险点:间接提示注入。OpenAI 在官方文档中侧重描述功能限制与数据处理方式,却未提及模型在高权限下可执行外部脚本以及被恶意操控的风险。这意味着,即使用户手动关闭了“自动编辑”功能,攻击仍可绕过豁免。随着 AI 插件越来越多地集成企业敏感数据(如财务模型),这类攻击可能成为数据泄露的新入口,影响范围从个人用户扩展至企业级部署。当前,OpenAI 未对漏洞做出明确修复承诺,也缺乏官方沟通渠道。
对用户/开发者/创作者的影响
对于普通用户:如果你使用了 ChatGPT for Google Sheets 插件并导入了外部数据源(如共享表格或连接器),你的工作簿内容可能被整体窃取;建议在官方修复前,暂停使用该插件处理来自不可信来源的数据。对于开发者:此漏洞提示在构建 AI Agent 类插件时,必须明确分层权限——插件的高敏感操作(如执行外部脚本、跨表读取)应当独立审计,而非仅依赖用户层面的单一权限开关。对于企业 IT 管理员:目前可在 Google Workspace 设置(权限与角色 > ChatGPT for Excel and Google Sheets)中限制该插件的使用范围,作为临时防护。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
第一,OpenAI 是否会发布安全补丁或更新设计文档,增加对间接提示注入风险的明确警告;第二,Google Workspace 是否会对这类高权限插件实施更严格的审核或沙箱隔离;第三,其他 AI 办公插件(如 Notion AI、Copilot for Excel)是否会暴露同类漏洞,以及行业是否会推动统一的插件安全标准。
