ChatGPT cho Google Sheets là plugin AI cho Google Sheets vừa mới ra mắt của OpenAI vào tháng trước, người dùng có thể trực tiếp xử lý dữ liệu bảng tính bằng ChatGPT trong thanh bên, chưa đầy một tháng đã có hơn 185.000 lượt tải xuống.

Nhưng công ty an ninh PromptArmor phát hiện rằng plugin này có quyền thực thi script, đọc và chỉnh sửa bảng tính của bạn, và những quyền này có thể bị kẻ tấn công chiếm đoạt.
Kẻ tấn công chỉ cần giấu một đoạn văn bản trắng ẩn trong một bảng tính chia sẻ, là có thể lấy cắp toàn bộ bảng tính trong tài khoản Google của bạn mà bạn không hề hay biết.
Ví dụ như đồng nghiệp chia sẻ một bảng tính Google cho bạn, hoặc bạn tải về một bộ dữ liệu công khai từ mạng để nhập vào bảng tính của mình. Những thao tác này rất phổ biến, nhưng kẻ tấn công có thể giấu một đoạn văn bản trắng (màu nền trắng, chữ trắng, mắt thường không nhìn thấy) trong các bảng tính đó, và bạn mở ra hoàn toàn không nhận ra.
Khi ChatGPT giúp bạn xử lý dữ liệu, đoạn lệnh ẩn này cũng được đọc và kích hoạt, khiến ChatGPT bị thao túng để thực thi một script bên ngoài.
Script này sử dụng quyền của plugin để gửi nội dung bảng tính hiện tại của bạn đến máy chủ của kẻ tấn công.
Sau đó, script sẽ tìm trong dữ liệu bị đánh cắp các liên kết đến các bảng tính khác, tiếp tục lấy cắp, giống như sâu bôn lan rộng.
Trong buổi trình diễn của PromptArmor, một cuộc tấn công đã lấy cắp tổng cộng 12 bảng tính.
ChatGPT for Sheets có một thiết lập an toàn "Xác nhận thủ công trước khi chỉnh sửa", nhằm ngăn chặn AI thực hiện thao tác mà không được phép.
Tuy nhiên, cuộc tấn công này vẫn hiệu quả ngay cả khi người dùng đã bật thiết lập này, vì nó kích hoạt thực thi script chứ không phải chỉnh sửa bảng tính, do đó vượt qua lớp phòng thủ này.
Nhấn nút "Dừng" trong thanh bên cũng không thể ngăn chặn script đã bắt đầu chạy.
Ngoài việc lấy cắp dữ liệu, lỗ hổng này còn cho phép kẻ tấn công thay thế giao diện ChatGPT giả mạo vào thanh bên, thay vì ChatGPT thật.
Sau khi thay thế, bạn nghĩ mình vẫn đang trò chuyện với ChatGPT, nhưng thực ra tất cả các câu hỏi đều bị kẻ tấn công thu thập.
Kẻ tấn công thậm chí có thể hiển thị một cửa sổ lừa đảo, dụ bạn nhập mật khẩu OpenAI.
PromptArmor đã gửi báo cáo lỗ hổng cho OpenAI vào ngày 8 tháng 5, và OpenAI đã gửi phản hồi tự động.
Sau đó, PromptArmor đã theo dõi hai lần vào ngày 12 và 18 tháng 5 mà không nhận được phản hồi thực chất nào.
Ngày 27 tháng 5, PromptArmor quyết định công khai tiết lộ.
Đến ngày 31 tháng 5, OpenAI mới chính thức phản hồi, thừa nhận "báo cáo này đã bị bỏ sót trong quy trình công bố của chúng tôi", và cho biết đã loại bỏ khả năng tạo mã Apps Script của mô hình,
"Điều này có thể loại bỏ rủi ro mà người dùng ChatGPT for Google Sheets phải đối mặt."
Từ khi báo cáo được gửi đến khi lỗ hổng được khắc phục, đã trải qua 23 ngày.
Quản trị viên Google Workspace có thể tắt quyền truy cập vào plugin này trong "Cài đặt Workspace > Quyền và vai trò > ChatGPT cho Excel và Google Sheets".