上线不到一个月,18.5万次下载。OpenAI亲生的ChatGPT for Google Sheets插件,爆出了史诗级安全漏洞。

你以为你在用AI提效,AI在用你的表格做局。一次普通的求助,一条隐藏的白色字体,就能让公司财务底稿被扒个精光。更魔幻的是,面对安全团队的连环警告,OpenAI选择了装死。

一键求助,万丈深渊;你的财务模型,正在裸奔

想象一下这个场景:你是个财务,正在搞内部财务模型。

图注:GPT for Sheets用户正在处理财务模型

为了数据更丰满,你从外部导入了一份补充数据集。

图注:用户导入外部数据集

这时候你顺手敲了一行指令,让侧边栏的ChatGPT帮你把新数据整合进去。很日常的操作对吧?但死神已经敲门前了。

那份外部表格里,早就被人埋下了一行白色字体的间接提示词注入。

图注:外部表格藏有隐藏的提示词注入

ChatGPT一读这行白字,瞬间走火入魔,直接调用外部恶意脚本。

图注:用户请求GPT帮忙整合数据

老实讲,这还没完。你以为只是当前表格遭殃?太天真了。恶意脚本偷走当前表格后,还会顺藤摸瓜,识别出表格里的其他链接,继续偷。

图注:ChatGPT执行外部恶意脚本

就这么一传十十传百,受害者账下的12个工作簿,几分钟内全被搬到了黑客的服务器上。

图注:受害者的财务模型出现在黑客服务器上

图注:恶意脚本持续窃取受害者关联的多个工作簿

权限比老板还大,点停止都拦不住的脱缰野马

有意思的是,很多人觉得这种事防起来很简单——我关掉“自动应用编辑”,设置成人工审批总行了吧?

个人觉得,这种想法多少有点低估了AI的“自作主张”。这次漏洞最可怕的地方就在于:哪怕你显式要求了人工审批,攻击依然能绕过限制直接执行。

更让人血压飙升的是,当你发现不对劲,狂点侧边栏的“停止”按钮时,已经跑起来的脚本根本不停。这就好比你踩了刹车,发现油门卡死了。

评论区有老哥总结得极其精辟:致命三要素再次发威。 不可信的输入源、过高的执行权限、加上毫无防备的模型,这三者凑一块,简直是安全灾难的标准配方。

偷完数据还要套密码,黑客给你量身定制“假AI”

如果只是偷数据,那还只是传统的窃密。但既然有了AI,玩法就升级了。

恶意脚本还能干两件事:第一,直接把侧边栏的ChatGPT换成黑客控制的克隆版。你接下来跟AI聊的每一句话,黑客都在看;你让它改的数据,黑客想怎么改就怎么改。它甚至还能装作AI让你重新登录,顺手骗走你的OpenAI账号密码。

图注:恶意脚本用黑客控制的克隆版覆盖侧边栏

第二,直接弹出一个交互式钓鱼弹窗,精准收割凭证。

图注:恶意脚本弹出钓鱼弹窗

说实话,这种防不胜防的社工套路,配合表格场景的掩护,中招率极高。

已读不回的巨头,与纯靠玄学的AI安全

发现这么大的窟窿,安全团队PromptArmor肯定得赶紧上报啊。

5月8日,漏洞提交给OpenAI。
5月8日,OpenAI回了封自动收件确认邮件。
5月12日,跟进询问,沉默。
5月18日,再次跟进,依然沉默。
5月27日,无奈公开披露。

从5月8日到5月27日,整整三周,OpenAI对这种涉及核心权限的漏洞视若无睹。官方文档里,对模型可能被间接注入操控的隐患只字不提,对执行高权限脚本的风险闭口不谈,全在扯些什么功能限制和数据处理套路。

这也难怪网友吐槽:搞AI开发的人,根本不知道自己搞出来的东西有多少坑,全凭感觉写代码。

18.5万用户把公司底账交给了AI,换来的是巨头的高冷和黑客的狂欢。当权限给得比老板还大,安全防线却比纸还薄时,你确定还要让AI碰你的核心数据吗?

【锐评】:权限给得比老板大,安全做得比草台烂,AI落地的捷径全靠用户拿底裤试错。

参考链接:
https://www.promptarmor.com/resources/gpt-for-google-sheets-data-exfiltration