ChatGPT para Google Sheets é um plugin de IA para Google Sheets lançado no mês passado pela OpenAI, permitindo que os usuários usem o ChatGPT diretamente na barra lateral para processar dados de planilhas, e em menos de um mês de lançamento, foi baixado mais de 185 mil vezes.

Porém, a empresa de segurança PromptArmor descobriu que esse plugin possui permissões para executar scripts, ler e editar sua planilha, e essas permissões podem ser exploradas por atacantes.
O atacante só precisa esconder um trecho de texto branco invisível em uma planilha compartilhada para, sem seu conhecimento, roubar toda a sua pasta de trabalho na sua conta Google.
Por exemplo, um colega compartilhou uma planilha com você, ou você importou um conjunto de dados público da internet para usar na sua planilha.
Essas são operações comuns, mas o atacante pode esconder um trecho de texto branco (fundo branco, fonte branca, invisível a olho nu) nessas planilhas, e você não perceberá ao abrir.
Quando o ChatGPT ajuda a processar esses dados, essa instrução oculta é lida junto e acionada, manipulando o ChatGPT para executar um script externo.
O script, usando as permissões do plugin, envia o conteúdo da sua planilha atual para o servidor do atacante.
Depois, o script procura links para outras planilhas nos dados roubados, continuando a invasão, espalhando-se como um verme.
Na demonstração do PromptArmor, um ataque conseguiu roubar 12 planilhas ao mesmo tempo.
O ChatGPT for Sheets possui uma configuração de segurança chamada "Confirmação manual antes de editar", que previne que a IA execute ações sem autorização.
Porém, esse ataque funciona mesmo com essa configuração ativada, pois é o script que é acionado, não a edição da planilha, burlando essa proteção.
Clicar no botão "Parar" na barra lateral também não impede que o script já em execução continue.
Além de roubar dados, a mesma vulnerabilidade permite que o atacante substitua a interface real do ChatGPT na barra lateral por uma falsa.
Depois da substituição, você acha que ainda está conversando com o ChatGPT, mas na verdade todas as suas perguntas estão sendo coletadas pelo atacante.
O atacante pode até exibir uma janela de phishing para enganar você e fazer você inserir sua senha do OpenAI.
PromptArmor enviou um relatório de vulnerabilidade para a OpenAI em 8 de maio, que respondeu com uma mensagem automática.
Depois, no dia 12 e 18 de maio, a PromptArmor fez dois acompanhamentos, sem receber resposta concreta.
Em 27 de maio, a PromptArmor decidiu divulgar publicamente a vulnerabilidade.
Somente em 31 de maio, a OpenAI respondeu oficialmente, admitindo que "esse relatório foi omitido no nosso processo de divulgação" e que removeram a capacidade de gerar código Apps Script automaticamente, "o que deve eliminar o risco para os usuários do ChatGPT for Google Sheets".
Do envio do relatório até a correção da vulnerabilidade, passaram-se 23 dias.
Administradores do Google Workspace podem desativar o acesso a esse plugin na seção "Configurações do Workspace > Permissões e papéis > ChatGPT para Excel e Google Sheets".