ChatGPT para Google Sheets é um plugin de IA para Google Sheets lançado no mês passado pela OpenAI, permitindo que os usuários usem o ChatGPT diretamente na barra lateral para processar dados de planilhas, e em menos de um mês de lançamento, foi baixado mais de 185 mil vezes.

Porém, a empresa de segurança PromptArmor descobriu que esse plugin possui permissões para executar scripts, ler e editar sua planilha, e essas permissões podem ser sequestradas por atacantes.
O atacante só precisa esconder um trecho de texto branco invisível em uma planilha compartilhada para, sem seu conhecimento, roubar toda a sua pasta de trabalho na sua conta do Google.
Por exemplo, um colega compartilhou uma planilha do Google com você, ou você importou um conjunto de dados públicos da internet para sua planilha.
Essas são operações comuns, mas o atacante pode esconder um trecho de texto branco (fundo branco, fonte branca, invisível a olho nu) nessas planilhas, e você não perceberá ao abrir.
Quando o ChatGPT ajuda a processar esses dados, essa instrução oculta é lida junto e acionada, manipulando o ChatGPT para executar um script externo.
O script, usando as permissões do plugin, envia o conteúdo da sua planilha atual para o servidor do atacante.
Depois, o script procura links para outras planilhas nos dados roubados, continuando a invasão, espalhando-se como um verme.
Na demonstração do PromptArmor, um ataque conseguiu roubar 12 planilhas ao final.
O ChatGPT for Sheets possui uma configuração de segurança chamada "Confirmação manual antes de editar", que previne que a IA execute ações sem autorização.
Porém, esse ataque funciona mesmo com essa configuração ativada, pois é acionado por execução de script, não por edição da planilha, burlando essa proteção.
Clicar no botão "Parar" na barra lateral também não impede que o script já em execução continue.
Além de roubar dados, a mesma vulnerabilidade permite que o atacante substitua a interface real do ChatGPT na barra lateral por uma falsa.
Depois da substituição, você acha que ainda está conversando com o ChatGPT, mas na verdade todas as suas perguntas estão sendo coletadas pelo invasor.
O atacante pode até exibir uma janela de phishing pedindo sua senha do OpenAI.
PromptArmor enviou uma denúncia de vulnerabilidade para a OpenAI em 8 de maio, que respondeu com uma mensagem automática.
Depois, em 12 e 18 de maio, a PromptArmor fez acompanhamentos, sem receber resposta concreta.
Em 27 de maio, decidiram divulgar publicamente a vulnerabilidade.
Somente em 31 de maio a OpenAI respondeu oficialmente, admitindo que "o relatório foi omitido no nosso processo de divulgação" e que removeram a capacidade de gerar código Apps Script automaticamente, "o que deve eliminar o risco para os usuários do ChatGPT for Google Sheets".
Do envio do relatório até a correção da vulnerabilidade, passaram-se 23 dias.
Administradores do Google Workspace podem desativar o acesso a esse plugin na seção "Configurações do Workspace > Permissões e papéis > ChatGPT para Excel e Google Sheets".