聊天生成器加载项暴露出表格范围的滥用风险

一家安全公司称他们发现了一种方法，可以使用于 Google Sheets 的聊天生成器加载项从受害者账户中外泄数据，这再次引发了人们对可在敏感业务文档上执行操作的第三方 AI 工具的担忧。

问题的核心是间接提示注入攻击，这类攻击可以从一个看似无害的单一查询在某个电子表格中开始。研究人员表示，这一次交互就足以触发对用户账户的更广泛影响，包括从多个工作簿窃取数据以及将聊天生成器侧边栏替换为攻击者控制的界面。

该攻击不依赖于每一步都有人批准。研究人员称，即使用户开启了旨在要求人工批准聊天生成器编辑工作簿的设置（包括“自动应用编辑”控制），攻击仍然可能成功。在他们的测试中，工作表内的不可信内容——或通过聊天生成器连接器拉入的内容——能够操纵模型去运行一个攻击者控制的外部脚本，而该脚本使用的是扩展已被授予的权限。

开放AI 最近推出了 Google Sheets 扩展，短短不到一个月就获得了超过 185,000 次下载。该加载项让用户可以通过聊天生成器侧边栏与电子表格交互，并且还可以利用来自聊天生成器连接器的数据。

在研究结果共享后提供的更新中，开放AI 表示已立即采取措施保护用户，移除了模型生成应用脚本代码的能力，称此举应能消除聊天生成器用于 Google Sheets 的用户风险。该公司还表示正重新评估该功能与 Google Sheets API 的交互方式及其沙箱化策略。

研究人员表示他们已负责地披露了该漏洞，但在后续沟通中只收到了自动回复。他们还指出，开放AI 的文档并未清晰说明授予模型的敏感能力，包括运行有特权脚本的能力，也没有充分说明间接提示注入带来的风险。

这些发现加入了对嵌入在生产力软件中的 AI 工具日益增长的安全担忧清单：当模型被允许运行在不可信数据上时，便捷性可能迅速演变为整个账户范围的暴露。

来源：

promptarmor.com