ChatGPT for Google Sheets存在数据泄露和钓鱼攻击漏洞

威胁情报目录ChatGPT for Google Sheets 窃取工作簿ChatGPT for Google Sheets 容易受到数据泄露和钓鱼覆盖攻击，在单个工作表中进行间接提示注入后，这些攻击会影响受害者账户中的多个工作簿。

此攻击不需要人工在环中批准，即使在设置中用户明确要求 ChatGPT 编辑工作簿前需经人工批准也是如此。

概述最近，OpenAI 在 Google Sheets 中推出了一个使用 ChatGPT 的 AI 扩展，自推出不到一个月以来，该扩展已累计下载量超过 185,000 次。

这允许用户通过与侧边栏中的 AI 聊天机器人交互来操作电子表格，并且还能从 ChatGPT 连接器获取数据。

由单个良性用户查询触发的间接提示注入攻击可以同时触发以下所有效果：从受害者账户中窃取多个工作簿显示交互式钓鱼弹出窗口用攻击者控制的聊天机器人界面覆盖整个 GPT 侧边栏攻击者控制对工作簿的编辑当任何不受信任的数据源（例如，

从导入的工作表或 ChatGPT 连接器）操纵 ChatGPT 运行攻击者控制的外部脚本时，就会发生此攻击，该脚本利用用户授予 ChatGPT for Google Sheets 扩展的权限执行。

该漏洞已负责任地披露给 OpenAI。

尽管进行了多次跟进，但除了对最初披露的自动回复外，我们没有收到任何其他通信。OpenAI 的文档未能描述授予该模型的敏感功能（例如，运行特权脚本）或通过间接提示注入操纵模型的风险，而是仅关注功能限制和数据处理问题。

因此，我们正在发布我们的发现，以便就风险面做出明智的决策。攻击链用户正在处理一个内部财务模型用户导入一个外部数据集用于其模型外部工作表中隐藏着白色文本的提示注入。用户要求 ChatGPT for Google Sheets 帮助将导入工作表中的数据集成到其财务模型中。

该注入操纵 ChatGPT for Google Sheets 运行一个外部脚本注意：ChatGPT for Google Sheets 有一个名为“自动应用编辑”的设置，用于确定在代理操作完成前何时需要人工批准。

然而，即使用户明确禁用了自动编辑，此攻击也会成功。外部脚本从用户的工作簿中窃取财务模型下面，攻击者的服务器日志显示了用户被窃取的财务模型。

外部脚本识别被盗数据中其他工作簿的链接，窃取发现的工作簿，并在其能找到的所有工作簿上继续这里，内部财务模型工作表包含一个指向与预算相关的另一个电子表格的链接。恶意脚本识别被盗数据中的电子表格 URL，并窃取新发现的工作簿。

然后它继续处理被盗数据，识别并窃取更多工作簿，最终总共窃取了 12 个工作簿。注意：点击 ChatGPT 侧边栏中的“停止”按钮不会停止已开始执行的脚本。钓鱼覆盖攻击除了上述数据泄露外，相同的攻击者控制脚本还使恶意行为者能够针对钓鱼覆盖攻击的两种变体。

变体 1：打开一个侧边栏，覆盖 ChatGPT for Google Sheets 扩展，显示攻击者控制的网站，允许攻击者冒充该扩展。

恶意侧边栏可以执行与 ChatGPT 相同的方式编辑工作表的脚本，使其能够以扩展程序正常执行的大部分方式行事，同时还执行恶意活动，例如：

收集所有用户提示为用户提供一个错位的聊天机器人进行交互说服用户“重新连接”连接器以访问其他应用程序显示钓鱼 UI 以窃取 OpenAI 的凭据变体 2：打开一个弹出模态框，呈现攻击者控制的网站，以钓鱼方式获取用户的凭据。

控制对 ChatGPT for Google Sheets 的访问组织可以利用以下配置来控制对 ChatGPT for Google Sheets 的访问：

工作空间设置 > 权限与角色 > ChatGPT for Excel 和 Google Sheets负责任的披露该漏洞已负责任地披露给 OpenAI。尽管进行了多次跟进，但除了对最初披露的自动回复外，我们没有收到任何其他通信。

OpenAI 的文档未能描述授予该模型的敏感功能（例如，运行特权脚本）或通过间接提示注入操纵模型的风险，而是仅关注功能限制和数据处理问题。因此，我们正在发布我们的发现，以便就风险面做出明智的决策。

时间线2026年5月8日 PromptArmor 通过电子邮件向 OpenAI 披露2026年5月8日 OpenAI 发送自动回复，

确认预期的报告渠道2026年5月8日 PromptArmor 确认电子邮件偏好2026年5月12日 PromptArmor 跟进2026年5月18日 PromptArmor 跟进2026年5月27日 公开披露