スプレッドシート全体で悪用されうるチャットGPTアドオンの脆弱性

あるセキュリティ企業は、Google スプレッドシート用チャットGPTアドオンを、被害者のアカウントからデータを持ち出すように仕向ける方法を見つけたと述べており、機密性の高い業務文書に作用できるサードパーティのAIツールに関する新たな懸念を投げかけています。

問題の中心は、単一の一見無害なクエリから始まる間接的なプロンプトインジェクション攻撃です。研究者によれば、その1回のやり取りだけでユーザーのアカウント全体に広がる影響を引き起こすのに十分であり、複数のブックからデータを盗んだり、チャットGPTのサイドバーを攻撃者がコントロールするインターフェイスに置き換えたりすることができるとされています。

この攻撃は、人が各ステップを承認するかどうかに依存しません。研究者らは、ユーザーがワークブックの編集前に人の承認を要求するように設定している場合でも、たとえば「編集を自動的に適用」コントロールを含む設定をオンにしていても成功すると述べています。彼らのテストでは、シート内の信頼されていないコンテンツやチャットGPTコネクタを通じて取り込まれたコンテンツが、モデルを操作して攻撃者制御の外部スクリプトを実行させ、その拡張機能に既に付与されている権限を利用することができたと報告されています。

オープンAIは最近、Google スプレッドシート拡張機能を公開し、1か月未満で185,000以上のダウンロードを集めました。このアドオンは、チャットGPTのサイドバーを通じてスプレッドシートと対話したり、チャットGPTコネクタからデータを取り出したりすることを可能にします。

研究が共有された後の更新で、オープンAIはユーザーを保護するために直ちに対策を講じ、Apps スクリプトのコードを生成するモデルの能力を取り除いたと述べました。これにより、Google スプレッドシート用チャットGPTのユーザーに対するリスクは解消されるはずだとしています。同社はまた、この機能がGoogle スプレッドシートのAPIとどのように相互作用するかおよびサンドボックス方式の見直しも進めていると述べました。

研究者らは、この脆弱性を責任ある形で開示したと述べていますが、その後のフォローアップには自動返信しか得られなかったとも報告しています。さらに、オープンAIのドキュメントは、権限のあるスクリプトを実行する能力などモデルに付与される機微な機能や、間接的なプロンプトインジェクションがもたらすリスクを明確に示していないと主張しています。

これらの発見は、生産性ソフトウェアに埋め込まれたAIツールに関するセキュリティ懸念の増加に追い打ちをかけるもので、モデルが信頼できないデータに作用できると、利便性がアカウント全体の露出に急速に変わり得ることを示しています。

出典：

promptarmor.com