ChatGPT untuk Google Sheets adalah plugin AI Google Sheets yang baru saja diluncurkan oleh OpenAI bulan lalu, pengguna dapat langsung menggunakan ChatGPT di sidebar untuk memproses data spreadsheet, dan dalam kurang dari sebulan sejak peluncuran, jumlah unduhannya telah melebihi 185.000 kali.

Namun perusahaan keamanan PromptArmor menemukan bahwa plugin ini memiliki izin untuk menjalankan skrip, membaca dan mengedit workbook Anda, dan izin ini dapat disalahgunakan oleh penyerang. Penyerang hanya perlu menyembunyikan sepotong teks berwarna putih di dalam spreadsheet yang dibagikan, dan tanpa sepengetahuan Anda, mereka dapat mencuri seluruh workbook di akun Google Anda.
Misalnya, rekan kerja membagikan sebuah Google Spreadsheet kepada Anda, atau Anda mengimpor dataset publik dari internet ke dalam workbook Anda untuk digunakan. Ini adalah operasi sehari-hari, tetapi penyerang dapat menyisipkan sepotong teks berwarna putih (warna latar belakang putih, font putih, tidak terlihat mata) di dalam spreadsheet tersebut, dan saat Anda membukanya, Anda tidak akan menyadarinya.
Ketika ChatGPT membantu Anda memproses data ini, perintah tersembunyi ini akan terbaca dan memicu, sehingga ChatGPT dikendalikan untuk menjalankan skrip eksternal. Skrip ini menggunakan izin plugin untuk mengirim isi workbook Anda ke server penyerang.
Kemudian skrip akan mencari tautan ke workbook lain dari data yang dicuri, dan melanjutkan pencurian, menyebar seperti worm. Dalam demonstrasi PromptArmor, satu serangan akhirnya mencuri 12 workbook.
ChatGPT for Sheets memiliki pengaturan keamanan 「Konfirmasi manual sebelum diedit」, yang dirancang untuk mencegah AI menjalankan operasi tanpa izin. Namun, serangan ini tetap efektif meskipun pengguna telah mengaktifkan pengaturan tersebut, karena yang dipicu adalah eksekusi skrip, bukan pengeditan spreadsheet, sehingga melewati pertahanan ini. Menekan tombol 「Hentikan」 di sidebar juga tidak dapat menghentikan skrip yang sudah berjalan.
Selain mencuri data, celah yang sama juga memungkinkan penyerang mengganti antarmuka ChatGPT palsu di sidebar, menggantikan ChatGPT yang asli. Setelah diganti, Anda akan mengira masih berinteraksi dengan ChatGPT, padahal semua pertanyaan Anda dikumpulkan oleh penyerang. Penyerang bahkan dapat menampilkan jendela phishing yang menipu Anda untuk memasukkan password OpenAI.
PromptArmor melaporkan celah ini ke OpenAI pada 8 Mei, dan OpenAI membalas dengan balasan otomatis. Setelah itu, PromptArmor melakukan tindak lanjut pada 12 Mei dan 18 Mei, tetapi tidak menerima tanggapan substantif. Pada 27 Mei, PromptArmor memutuskan untuk mengungkapkan secara terbuka.
Hingga 31 Mei, OpenAI baru merespons secara resmi, mengakui 「laporan ini terlewatkan dalam proses pengungkapan kami」, dan menyatakan bahwa mereka telah menghapus kemampuan model untuk menghasilkan kode Apps Script, 「yang diharapkan dapat mengurangi risiko yang dihadapi pengguna ChatGPT for Google Sheets」.
Dari pengajuan laporan hingga perbaikan celah, memakan waktu 23 hari.
Administrator Google Workspace dapat menonaktifkan akses ke plugin ini di 「Pengaturan Workspace > Izin dan Peran > ChatGPT untuk Excel dan Google Sheets」.