Empresa de segurança diz que complemento ChatGPT para Google Sheets pode exfiltrar dados de usuários
Complemento ChatGPT exposto a abuso em várias planilhas
Uma empresa de segurança afirma que encontrou uma forma de fazer com que o complemento ChatGPT para Google Sheets exfiltrasse dados da conta de uma vítima, levantando novas preocupações sobre ferramentas de IA de terceiros que podem agir sobre documentos empresariais sensíveis.
O problema gira em torno de um ataque de injeção de prompt indireta que pode começar com uma única consulta aparentemente inofensiva em uma planilha. Segundo os pesquisadores, essa única interação pode ser suficiente para desencadear efeitos mais amplos na conta do usuário, incluindo roubo de dados de múltiplas pastas de trabalho e a substituição da barra lateral do ChatGPT por uma interface controlada pelo atacante.
O ataque não depende da aprovação de uma pessoa a cada etapa. Os pesquisadores disseram que ele tem sucesso mesmo quando o usuário ativou configurações destinadas a exigir aprovação humana antes que o ChatGPT edite as planilhas, incluindo o controle “Aplicar edições automaticamente”. Em seus testes, conteúdo não confiável dentro de uma folha — ou conteúdo obtido por meio de um conector do ChatGPT — poderia manipular o modelo para executar um script externo controlado pelo atacante que usava permissões já concedidas à extensão.
A OpenAI lançou recentemente a extensão para Google Sheets, que reuniu mais de 185.000 downloads em menos de um mês. O complemento permite que usuários interajam com planilhas por meio de uma barra lateral do ChatGPT e também acessem dados através de conectores do ChatGPT.
Em uma atualização fornecida após a divulgação da pesquisa, a OpenAI disse que tomou medidas imediatas para proteger os usuários ao remover a capacidade do modelo de gerar código Apps Script, o que, segundo a empresa, deveria eliminar o risco para usuários do ChatGPT para Google Sheets. A companhia disse também que está reavaliando como o recurso interage com as APIs do Google Sheets e sua abordagem de isolamento (sandboxing).
Os pesquisadores afirmaram que fizeram a divulgação responsável da vulnerabilidade, mas que após acompanhamentos receberam apenas uma resposta automática. Eles também argumentaram que a documentação da OpenAI não deixa claramente expostas as capacidades sensíveis concedidas ao modelo, incluindo a habilidade de executar scripts privilegiados, nem os riscos colocados pela injeção de prompt indireta.
As descobertas se somam a uma lista crescente de preocupações de segurança em torno de ferramentas de IA incorporadas a softwares de produtividade, onde a conveniência pode rapidamente se transformar em exposição em toda a conta quando um modelo tem permissão para agir sobre dados não confiáveis.
Fontes: