ChatGPT for Google Sheets 是 OpenAI 上个月刚推出的 Google 表格 AI 插件，用户可以在侧边栏直接用 ChatGPT 处理表格数据，上线不到一个月下载量就超过了 18.5 万次。

但安全公司 PromptArmor 发现，这个插件有权限执行脚本、读取和编辑你的工作簿，而这些权限可以被攻击者劫持。攻击者只需要在一个共享表格中藏一段白色隐藏文字，就能在你毫不知情的情况下窃取你整个 Google 账户里的工作簿。
比如同事分享了一个 Google 表格给你，或者你从网上找了一份公开数据集导入自己的工作簿来用。这些都是日常操作，但攻击者可以在这些表格里藏一段白色文字（背景白色、字体白色，肉眼看不见），你打开表格完全不会注意到。
当 ChatGPT 帮你处理这些数据时，这段隐藏指令被一起读取并触发，ChatGPT 被操纵去执行一个外部脚本。脚本利用插件的权限，把你当前工作簿的内容发送到攻击者的服务器。
然后脚本会在被偷走的数据里寻找其他工作簿的链接，继续偷，像蠕虫一样扩散。在 PromptArmor 的演示中，一次攻击最终偷走了 12 个工作簿。
ChatGPT for Sheets 有一个「编辑前需要人工确认」的安全设置，专门防止 AI 未经授权就执行操作。只不过这个攻击在用户明确开启了该设置的情况下依然有效，因为它触发的是脚本执行，不是表格编辑，绕过了这道防线。点击侧边栏的「停止」按钮也拦不住已经开始运行的脚本。
除了偷数据，同样的漏洞还能让攻击者用一个假的 ChatGPT 界面替换掉侧边栏里真正的 ChatGPT。替换之后，你以为自己还在跟 ChatGPT 对话，实际上所有提问都被攻击者收集了。攻击者甚至可以弹出一个钓鱼窗口，骗你输入 OpenAI 密码。
PromptArmor 在 5 月 8 日向 OpenAI 提交了漏洞报告，OpenAI 回了一封自动回复。之后 PromptArmor 在 5 月 12 日和 5 月 18 日分别跟进了一次，没有收到任何实质性回应。5 月 27 日，PromptArmor 决定公开披露。
直到 5 月 31 日，OpenAI 才正式回应，承认「这个报告在我们的披露流程中被遗漏了」，并表示已经移除了模型生成 Apps Script 代码的能力，「这应该能消除 ChatGPT for Google Sheets 用户面临的风险」。
从报告提交到漏洞修复，历经 23 天。
Google Workspace 管理员可以在「Workspace 设置 > 权限与角色 > ChatGPT for Excel and Google Sheets」中关闭组织内对该插件的访问。