18.5万次安装的ChatGPT插件曝高危漏洞:提示词注入可绕过人工审批,OpenAI已读不回三周

上线不到一个月，累计下载量突破18.5万次。OpenAI官方推出的ChatGPT for Google Sheets插件，日前被曝存在严重安全漏洞。

表面看是让AI帮用户整理表格，实际上恶意制作者可以通过在表格中植入隐藏内容，操控AI执行非授权操作。一次看似普通的导入数据，就可能导致公司财务信息外泄。而面对安全团队的系统性警告，OpenAI选择了沉默。

你的表格如何成为攻击入口

来看一个典型攻击场景：

财务人员正在处理内部财务模型。为补充数据，他从外部导入了一份电子表格。

他让侧边栏的ChatGPT帮忙整合新数据。常规操作，看起来没什么风险。

但这份外部表格中，早已被埋入一行白色字体的间接提示词注入指令。

ChatGPT读取这行白字后，会调用外部恶意脚本。

攻击并未止步于当前表格。恶意脚本首先获取当前表格数据，然后识别文档中的其他链接，进一步扩散窃取。

短时间内，受害者账户下的多个工作簿全部被转移到攻击者服务器。

有人认为防范并不困难：关闭“自动应用编辑”，改用人工审批即可。

问题在于，这次漏洞的核心正是权限设计的根本性缺陷——即便用户显式要求人工审批，攻击仍能绕过限制直接执行。

更棘手的是，当用户发现异常并点击侧边栏的“停止”按钮时，已启动的脚本并不会中止。权限一旦给出，模型“自作主张”的能力远超预期。

安全社区将这类风险总结为三个要素的叠加：不可信的输入源、过高的执行权限、加上缺乏防御机制的模型——这是一个完整的安全灾难配方。

如果只是被动窃取数据，这还只是传统的安全事件。一旦AI介入，玩法就升级了。

恶意脚本可以做两件事：

第一，用攻击者控制的克隆版本替换侧边栏的ChatGPT。用户后续与AI的所有对话，攻击者全程可见；让AI修改的数据，攻击者可随意篡改。它甚至能伪装成AI提示用户重新登录，骗取OpenAI账号密码。

第二，直接弹出钓鱼弹窗，精准收割凭证。

这种结合社交工程学的攻击套路，配合表格处理场景的掩护，中招概率很高。

发现漏洞后，安全公司PromptArmor按流程上报：

从报告到披露整整三周，OpenAI对涉及核心权限的漏洞未作实质性回应。官方文档中，对模型可能被间接注入操控的隐患只字未提，对高权限脚本执行风险避而不谈，只在功能限制和数据处理条款上做文章。

这也折射出一个现实：AI应用开发中，安全问题往往在设计阶段就被忽视。18.5万用户将企业核心数据托付给AI插件，面对的是巨头的沉默和攻击者的活跃。

此类漏洞的本质是AI系统权限边界模糊与外部输入缺乏过滤。以下是几点可操作的建议：

当AI工具的权限越来越大，安全防线的建设却远未跟上，用户往往是第一个踩坑的人。

参考链接：
https://www.promptarmor.com/resources/gpt-for-google-sheets-data-exfiltration

更多精彩内容每日在 https://linkstar.cloud 平台首发（或谷歌搜索 智链星穹），点击文末左下角「阅读原文」查看。