ChatGPT for Google Sheets 窃取工作簿
一句话看懂:安全研究人员发现,通过向 ChatGPT for Google Sheets 等 AI 工具注入恶意字体文件(如 Docx 中的字体),可以轻易窃取用户工作簿数据。这一攻击向量揭示了当前大模型产品在提示注入防护上的严重缺失,且被指出是“业余水平”的设计缺陷。
事件核心:发生了什么
安全研究人员在 Hacker News 上披露,他们通过 Docx 文件中的恶意字体,成功对 Anthropic 和 OpenAI 的 AI 产品实施了提示注入攻击。研究人员在 tritium.legal 上公开了详细记录。这种攻击的核心在于,字体文件可以隐藏注入指令,绕过 AI 模型的安全检查,最终导致敏感数据(如 Google Sheets 工作簿中的模型更新指令或客户数据)被外泄。攻击者甚至能引导模型执行“按 comp sheet 工作流更新模型”等具体操作,从而窃取整个工作簿内容。
为什么重要
这个发现直击大模型商业化的根基——提示注入(prompt injection)可能是一个无法从架构上解决的“结构性漏洞”。如果 AI 产品连用户上传的正常格式文件(如 Docx)都无法安全处理,其作为企业级工具的信任基础将受到冲击。研究人员明确表示,这个问题对 Anthropic 和 OpenAI 来说“可能是业务模式存亡级的”。当前 AI 公司在安全投入上仍处于“移动快、破坏多”的阶段,与“万亿市值公司”的定位不符。对于依赖 AI 处理敏感文档的 SaaS 应用(如 Google Sheets 插件),这一漏洞意味着数据泄露风险并非理论上的,而是实际可演示的。
对用户/开发者/创作者的影响
普通用户:使用 ChatGPT for Google Sheets、Claude 或其他 AI 数据处理插件时,应避免上传包含敏感信息的文档(如财务数据、客户名单)。恶意字体攻击不需要用户主动点击链接,只需打开文档即可触发。
开发者:在构建 AI 工作流工具时,必须将输入验证提升到与生产环境安全同等水平。重点检查多模态输入(字体、图片、声音)中可能隐藏的指令注入点,而非只关注文本提示。目前已知的对抗方案(如内容沙箱、权限隔离)尚不成熟,需警惕“市场可以保持非理性比你能保持偿付能力更久”的风险。
企业采购方:在评估 AI 工具时,应将“提示注入防护能力”列入安全审查清单。尤其在涉及工作簿自动化的场景中,要求供应商提供第三方渗透测试报告,并确认其对非文本输入(如字体、元数据)的处理机制。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
1. Anthropic 和 OpenAI 是否会承认漏洞并发布修复?研究人员称已分别成功攻击两家公司的产品,但公开信息尚未显示官方补丁时间表。如果修复力度不足(如仅过滤已知恶意字体),说明安全投入仍不匹配问题严重性。
2. macOS 系统公证机制是否能成为防御层?有评论提到 macOS 公证(notarization)流程可能阻断恶意字体的传播,但 AI 插件通常运行在 Web 端,本地操作系统防护可能无效。
3. 提示注入是否会倒逼新安全范式?有观点认为,如果提示注入确实“理论上不可解”,整个 AI 工具的商业模型可能被迫转向“完全隔离环境”或“需用户明确授权数据操作”的模式,从而改变产品设计逻辑和用户体验。
来源:hackernews
