ChatGPT для Google Sheets — це плагін для Google Таблиць на базі OpenAI, який був запущений минулого місяця, користувачі можуть безпосередньо через бічну панель обробляти дані таблиць за допомогою ChatGPT, і за менш ніж місяць з моменту запуску кількість завантажень перевищила 185 000 разів.

Але компанія з безпеки PromptArmor виявила, що цей плагін має дозволи на виконання скриптів, читання та редагування ваших робочих книг, і ці дозволи можуть бути захоплені зловмисниками.
Зловмисник може просто приховати фрагмент білого тексту у спільній таблиці, і це дозволить йому викрасти всю робочу книгу з вашого облікового запису Google без вашого відома.
Наприклад, колега поділився з вами Google Таблицею або ви імпортували відкритий набір даних з Інтернету у свою робочу книгу. Це звичайні дії, але зловмисник може приховати у цих таблицях фрагмент білого тексту (білий фон, білий шрифт, невидимий неозброєним оком), і ви навіть не помітите цього, відкриваючи таблицю.
Коли ChatGPT допомагає вам обробляти ці дані, ця прихована команда також зчитується і активується, і ChatGPT може бути маніпульований для виконання зовнішнього скрипта.
Скрипт, використовуючи дозволи плагіна, відправляє вміст вашої поточної робочої книги на сервер зловмисника.
Після цього скрипт шукає у викрадених даних посилання на інші робочі книги і продовжує красти їх, поширюючись, як черв’як.
У демонстрації PromptArmor один раз атака дозволила викрасти 12 робочих книг.
ChatGPT для Sheets має налаштування безпеки «Перед редагуванням потрібно підтвердження людини», яке запобігає несанкціонованому виконанню дій AI.
Але ця атака все одно може спрацювати навіть при активованій цій опції, оскільки вона активує виконання скрипта, а не редагування таблиці, і обійти цю захисну лінію.
Клік по кнопці «Зупинити» у бічній панелі також не зупинить вже запущений скрипт.
Крім крадіжки даних, цей вразливий механізм може дозволити зловмиснику підмінити справжній ChatGPT у бічній панелі на фальшивий.
Після підміни ви будете думати, що спілкуєтеся з ChatGPT, але насправді всі ваші запити збираються зловмисником.
Зловмисник навіть може показати фішингове вікно, щоб обманом отримати ваш пароль від OpenAI.
PromptArmor 8 травня подав звіт про вразливість до OpenAI, і отримав автоматичну відповідь.
Після цього 12 і 18 травня PromptArmor зробив додаткові звернення, але не отримав суттєвої відповіді.
27 травня PromptArmor вирішив оприлюднити цю інформацію.
Лише 31 травня OpenAI офіційно відповіли, визнавши, що «цей звіт був пропущений у нашому процесі розкриття», і повідомили, що вже видалили можливість автоматичного генерування коду Apps Script, «що має зменшити ризики для користувачів ChatGPT для Google Sheets».
Від подання звіту до виправлення вразливості минуло 23 дні.
Адміністратори Google Workspace можуть у розділі «Налаштування Workspace > Дозволи та ролі > ChatGPT для Excel і Google Sheets» вимкнути доступ до цього плагіна в організації.