챗지피티 애드온이 스프레드시트 전체에서 악용될 수 있음

한 보안 업체는 챗지피티용 Google Sheets 애드온이 피해자 계정에서 데이터를 유출하도록 만들 수 있는 방법을 발견했다고 밝혀 타사 AI 도구가 민감한 업무 문서에서 작동할 때 새롭게 제기되는 우려를 불러일으켰습니다.

문제의 핵심은 한 스프레드시트에 있는 한 번의 겉보기에는 무해한 쿼리로 시작할 수 있는 간접 프롬프트 인젝션 공격입니다. 연구진에 따르면 그 하나의 상호작용만으로도 사용자의 계정 전반에 걸쳐 더 광범위한 영향을 촉발할 수 있으며, 여기에는 여러 스프레드시트의 데이터 탈취와 챗지피티 사이드바를 공격자가 제어하는 인터페이스로 교체하는 행위까지 포함됩니다.

이 공격은 사람이 각 단계를 승인하는지 여부에 의존하지 않습니다. 연구진은 사용자가 워크북을 챗지피티가 편집하기 전에 사람의 승인을 요구하도록 설정해 두었더라도, ‘Apply edits automatically’ 설정과 같은 제어가 켜져 있을 때도 공격이 성공한다고 말했습니다. 테스트에서 시트 안의 신뢰되지 않은 콘텐츠나 챗지피티 커넥터를 통해 불러온 콘텐츠는 모델을 조작해 이미 확장 기능에 부여된 권한을 이용하는 공격자 제어 외부 스크립트를 실행하도록 만들 수 있었습니다.

오픈에이아이는 최근 Google Sheets 확장 기능을 출시했으며, 한 달도 채 되지 않아 185,000건 이상의 다운로드를 기록했습니다. 이 애드온은 사용자가 챗지피티 사이드바를 통해 스프레드시트와 상호작용하게 하고 챗지피티 커넥터에서 데이터를 끌어올 수 있게 합니다.

연구 결과가 공유된 후 오픈에이아이는 즉각적인 조치를 취해 사용자를 보호했다고 밝혔습니다. 회사는 모델이 앱스 스크립트 코드를 생성하는 기능을 제거했으며, 이 조치가 챗지피티용 Google Sheets 사용자에 대한 위험을 제거해야 한다고 했습니다. 또한 오픈에이아이는 이 기능이 Google Sheets API와 어떻게 상호작용하는지, 그리고 샌드박싱 접근법을 재평가하고 있다고 밝혔습니다.

연구진은 취약점을 책임감 있게 공개했다고 말했지만, 후속 조치에서 자동 응답 이상의 답변을 받지 못했다고 했습니다. 또한 오픈에이아이의 문서가 모델에 부여된 민감한 권한들, 예컨대 권한 있는 스크립트를 실행할 수 있는 능력이나 간접 프롬프트 인젝션이 초래하는 위험을 명확히 설명하지 않는다고 주장했습니다.

이 발견은 생산성 소프트웨어에 내장된 AI 도구들에 대한 보안 우려 목록에 또 하나를 추가합니다. 편의성이 모델이 신뢰할 수 없는 데이터에 대해 행동하도록 허용될 때에는 계정 전체의 노출로 빠르게 바뀔 수 있습니다.

출처:

promptarmor.com