全文约 1629 字，读完大约 3 分钟。

AI 插件正在偷表格？普通人用 AI 工具前，先补上这 5 条安全底线

上个月，安全研究团队 PromptArmor 披露了一个漏洞：ChatGPT for Google Sheets 这款插件，可以被"间接提示注入"攻击利用，自动读取你账号下所有工作簿的数据，然后发送到攻击者控制的服务器。

OpenAI 收到报告后，超过三周只回了一封自动邮件。直到这件事上了 Hacker News 首页、引发大量关注，OpenAI 安全团队才紧急出手，禁掉了模型生成 Apps Script 代码的能力。

这个漏洞本身已经被修复。但它暴露的问题，不只是某个插件的 bug。

判断卡
AI 插件真正的风险，不是某一个工具出了漏洞，而是我们为了省时间，把太多文件、账号和业务上下文一次性交给了它。

先看懂这是怎么回事

简单说，攻击的路径是这样的：

关键是：即使用户关闭了"自动编辑"选项，这个攻击仍然有效。

因为攻击不是在编辑表格，而是在调用脚本。

三类你可能没想到的风险

如果你觉得"我又不用 Google Sheets 插件，跟我没关系"，那可能低估了问题的范围。

AI 办公工具的权限风险，大致分三类：

这不是假设。Hacker News 评论区里，有人用恶意字体在 Word 文档里注入提示，成功攻击了 ChatGPT 和 Claude。还有人指出，Codex（OpenAI 的编码工具）会为了读一个 PDF，直接在电脑上安装一个可执行文件——来源不明，未经安全审查。

风险卡
你以为只是让 AI 帮你处理一张表，实际上它可能已经获得了读取你整个账号数据、安装软件、发送请求的能力。

普通人用 AI 工具，先守住这 5 条底线

我不打算吓唬你不用 AI。我自己每天都在用 AI 写内容、跑工具、做数据整理。

但作为一个在 IT 行业干了 10 多年的人，我想把工程里最基本的权限意识，翻译成普通人也能执行的安全清单：

底线 1：不要用真实客户数据测试 AI 工具

刚装一个新插件，先用假数据试。别拿真实客户名单、财务数据、工资表去"试试看好不好用"。

底线 2：敏感文件先脱敏，再交给 AI

必须让 AI 处理敏感数据时，先做脱敏：删掉真实姓名、手机号、身份证号、金额。处理完再把结果拼回去。

底线 3：插件只给最小权限

安装插件时，看清它要求什么权限。一个表格插件需要访问你的日历、邮件、通讯录？那就不正常。

底线 4：定期清理已安装的插件和授权

你手机上装了多少 App 已经不用的？AI 插件也一样。用完的插件及时移除，不要让它在后台一直保留你的数据访问权限。

底线 5：重要文件不要接入不明工具

公司核心数据、个人隐私文件、银行流水——这类文件，能不用 AI 插件处理就别用。AI 提效是好，但不是所有数据都适合交给第三方服务。

公司团队该怎么做

如果你还在公司上班，这几件事值得跟团队聊聊：

• • 工具白名单：不是什么 AI 工具都能装。团队应该有一个经过安全评估的 AI 工具清单。
• • 测试账号：用专门的测试账号跑 AI 工具，不要用生产账号。
• • 权限分层：实习生和核心业务人员，不应该有相同的 AI 工具权限。
• • 日志审计：AI 工具的 API 调用和数据访问，应该有记录可查。

这不是保守，是基本的工程纪律。

行动卡
下周花 10 分钟，把你在用的 AI 插件和授权列一张清单。看看哪些已经不需要了，哪些权限给得过大。这一步比学任何新工具都重要。

Jerry 视角：用 AI 可以，但别把安全感押在"默认安全"上

我在做 Jerry聊AI 这个号的过程中，几乎每天都在和各种 AI 工具打交道：选题、写初稿、做图文、排版、发布。

AI 确实帮我省了大量时间。

但每次装一个新插件、接入一个新工具时，我都会先想三个问题：

1. 1. 它能访问我的哪些数据？
2. 2. 它会不会把数据发给第三方？
3. 3. 用完以后，我怎么收回权限？

这不是 paranoid，这是一个在 IT 行业待了 10 多年的人的基本习惯。

AI 时代最贵的不是工具本身，而是你对工具边界的理解。

普通人不需要成为安全专家。但至少，在把数据交给 AI 之前，先花几秒钟想一下：这个工具，值不值得信任到这个程度？

如果这篇文章帮你多想了一步，可以点个在看，或者转给那个刚装了五个 AI 插件的同事。