ChatGPT para Google Sheets es un complemento de IA para Google Sheets que OpenAI lanzó el mes pasado, los usuarios pueden usar ChatGPT directamente en la barra lateral para procesar datos de la hoja, y en menos de un mes de lanzamiento, ha sido descargado más de 185,000 veces.

Pero la empresa de seguridad PromptArmor descubrió que este complemento tiene permisos para ejecutar scripts, leer y editar tu libro de trabajo, y estos permisos pueden ser secuestrados por atacantes.
El atacante solo necesita esconder un fragmento de texto en blanco en una hoja compartida para robar sin que tú te des cuenta todo el libro de trabajo en tu cuenta de Google.
Por ejemplo, un colega comparte un Google Sheet contigo, o tú importas un conjunto de datos públicos desde internet para usar en tu libro.
Estas son operaciones cotidianas, pero el atacante puede esconder un fragmento de texto en blanco (fondo blanco, fuente blanca, invisible a simple vista) en esas hojas, y tú no notarás al abrir el archivo.
Cuando ChatGPT te ayuda a procesar estos datos, esa instrucción oculta se lee y se activa, y ChatGPT puede ser manipulado para ejecutar un script externo.
El script, usando los permisos del complemento, envía el contenido de tu libro actual a un servidor controlado por el atacante.
Luego, el script busca en los datos robados enlaces a otros libros, y continúa robando, propagándose como un gusano.
En la demostración de PromptArmor, un solo ataque logró robar 12 libros de trabajo.
ChatGPT for Sheets tiene una configuración de seguridad llamada «Confirmación manual antes de editar», diseñada para evitar que la IA ejecute acciones sin autorización.
Pero este ataque funciona incluso si el usuario ha activado esa opción, porque se activa mediante la ejecución de scripts, no por la edición de la hoja, lo que la evade.
Hacer clic en el botón «Detener» en la barra lateral tampoco detiene los scripts que ya están en marcha.
Además de robar datos, la misma vulnerabilidad permite a los atacantes reemplazar la interfaz real de ChatGPT en la barra lateral por una falsa.
Después del reemplazo, pensarás que sigues conversando con ChatGPT, pero en realidad todas tus preguntas son recopiladas por el atacante.
Incluso pueden mostrar una ventana de phishing para engañarte y que ingreses tu contraseña de OpenAI.
PromptArmor reportó la vulnerabilidad a OpenAI el 8 de mayo, y OpenAI respondió con un mensaje automático.
Luego, PromptArmor hizo un seguimiento el 12 y el 18 de mayo, sin recibir respuesta concreta.
El 27 de mayo, PromptArmor decidió hacer pública la vulnerabilidad.
Hasta el 31 de mayo, OpenAI respondió oficialmente, admitiendo que «el informe se omitió en nuestro proceso de divulgación», y que ya eliminaron la capacidad de generar código Apps Script automáticamente, «lo que debería eliminar el riesgo para los usuarios de ChatGPT for Google Sheets».
Desde la presentación del informe hasta la reparación de la vulnerabilidad, transcurrieron 23 días.
Los administradores de Google Workspace pueden desactivar el acceso a este complemento en «Configuración de Workspace > Permisos y roles > ChatGPT para Excel y Google Sheets».