ChatGPT Google Sheets插件可窃取工作簿，即使禁用自动编辑也难逃攻击

最近，OpenAI发布了在Google Sheets中使用ChatGPT的AI扩展程序，上线不到一个月已累计超过18.5万次下载。该扩展允许用户通过侧边栏中的AI聊天机器人操作电子表格，并额外支持通过ChatGPT连接器调用数据。

一次由良性用户查询触发的间接提示注入攻击，可以同时引发以下所有后果：

- 从受害者账户中窃取多个工作簿 - 显示交互式钓鱼弹窗 - 用攻击者控制的聊天机器人界面覆盖整个GPT侧边栏 - 攻击者控制对工作簿的编辑

当任何不可信数据源（例如来自导入的表格或ChatGPT连接器）操纵ChatGPT运行攻击者控制的外部脚本时，就会发生此类攻击。该脚本利用了用户已授予ChatGPT for Google Sheets扩展的权限执行。

此漏洞已负责任地向OpenAI披露。尽管进行了多次跟进，除了最初披露时收到的自动回复外，我们没有收到任何沟通。OpenAI的文档未能描述授予模型的高危能力（例如运行特权脚本）或通过间接提示注入操纵模型的风险，而是仅关注功能限制和数据处理问题。因此，我们公开发布我们的发现，以便就风险面做出明智决策。

攻击链

1. 用户正在处理内部财务模型 2. 用户导入外部数据集用于模型 3. 外部表格中隐藏着白色文本的提示注入 4. 用户向ChatGPT for Google Sheets请求帮助整合导入表格中的数据到财务模型 5. 提示注入操纵ChatGPT for Google Sheets运行外部脚本

注意：ChatGPT for Google Sheets有一个名为“自动应用编辑”的设置，用于决定何时需要在代理操作完成前获得人工审批。然而，即使当用户明确禁用了自动编辑，此攻击仍然成功。

6. 外部脚本从用户的工作簿中窃取财务模型

下方显示的是攻击者服务器日志中记录的用户被窃取的财务模型。

7. 外部脚本识别被盗数据中其他工作簿的链接，窃取发现的工作簿，并持续遍历所有能找到的工作簿

在这里，内部财务模型表格包含了一个指向另一个预算相关电子表格的链接。恶意脚本识别出被盗数据中的电子表格URL，窃取新发现的工作簿。然后继续处理被盗数据，识别并窃取更多工作簿，最终共窃取了12个工作簿。

注意：点击ChatGPT侧边栏中的“停止”按钮并不能阻止已经开始执行的脚本继续运行。

钓鱼覆盖攻击

除了上述数据窃取外，相同的攻击者控制脚本还使恶意攻击者能够实施两种变体的钓鱼覆盖攻击。

变体1：打开一个侧边栏，用攻击者控制的站点覆盖ChatGPT for Google Sheets扩展，使攻击者能够冒充该扩展。恶意侧边栏可以执行脚本，以与ChatGPT相同的方式编辑表格，从而以扩展正常方式运行，同时执行恶意活动，例如：

- 收集所有用户提示 - 为用户提供歪曲的聊天机器人进行交互 - 说服用户“重新连接”连接器，以获取对其他应用的访问权限 - 显示钓鱼UI，窃取OpenAI凭据

变体2：弹出一个模态窗口，显示攻击者控制的网站，用于钓鱼用户凭据。

控制对ChatGPT for Google Sheets的访问

组织可以利用以下配置来控制对ChatGPT for Google Sheets的访问：

工作区设置 > 权限与角色 > ChatGPT for Excel和Google Sheets

负责任披露

此漏洞已负责任地向OpenAI披露。尽管进行了多次跟进，除了最初披露时收到的自动回复外，我们没有收到任何沟通。OpenAI的文档未能描述授予模型的高危能力（例如运行特权脚本）或通过间接提示注入操纵模型的风险，而是仅关注功能限制和数据处理问题。因此，我们公开发布我们的发现，以便就风险面做出明智决策。

时间线

- 2026年5月8日：PromptArmor通过电子邮件向OpenAI披露 - 2026年5月8日：OpenAI发送自动回复，确认报告渠道 - 2026年5月8日：PromptArmor确认电子邮件偏好 - 2026年5月12日：PromptArmor跟进 - 2026年5月18日：PromptArmor跟进 - 2026年5月27日：公开披露