ChatGPT插件窃取Sheets

你在Google Sheets里问ChatGPT扩展"帮我总结一下这份数据"，结果不止给你总结了数据——还把你另外11个工作簿一起打包带走了。

这不是假设，这是PromptArmor研究人员在2026年5月27日实际演示的攻击效果。受影响的扩展用户数：185,000人。

漏洞类型叫间接提示注入（Indirect Prompt Injection）——OWASP LLM Top 10的第一名。听起来学术，实际上直白到有些吓人。

攻击不需要你点什么可疑链接，不需要你下什么附件。整个过程是这样的：

你从某处导入了一份数据集，里面有一个或几个单元格被动了手脚，嵌入了攻击者的指令。这些指令平时安静地躺着，不会有任何视觉异常。

然后你向ChatGPT扩展提了个很普通的问题，比如"帮我总结这个表格"。扩展开始扫描表格内容，读到了那个被污染的单元格，指令就被激活了。

接下来，扩展利用你安装时已经授予的权限，执行Apps Script代码，悄无声息地开始外泄数据。不是只读当前这个工作簿——它会扫描里面的超链接，顺着链接找到你其他的工作簿，继续读，继续传。

PoC演示里，单次会话窃取了12 个工作簿。

你有没有机会叫停它？研究人员测试了两道"安全保险"：

"自动应用编辑"安全开关——已被绕过

停止按钮——无效。Apps Script在扩展的确认UI层之下执行，按钮管不到它

还有一个次级攻击。脚本可以把Sheets侧边栏替换成一个伪造的ChatGPT界面，等你在里面输入OpenAI账号凭据。

一个被污染的单元格，两件事同时发生：数据外泄，加账号劫持。

参考来源：

Byteiota: ChatGPT for Google Sheets Can Steal Your Entire Spreadsheet Library

PromptArmor 安全研究披露（2026年5月27日）

Incogni 2026 AI Chrome 扩展研究报告

OWASP LLM Top 10 for Large Language Model Applications