AI
Google Sheets
bezpečnost

Zranitelnost ChatGPT pro Google Sheets: Exfiltrace dat a phishingové útoky

ChatGPT pro Google Sheets čelí vážným zranitelnostem, které umožňují exfiltraci dat a phishingové útoky, jak ukazuje nedávný výzkum.

1. června 2026

PromptArmor popsal zranitelnost v rozšíření ChatGPT pro Google Sheets, která umožňovala exfiltraci dat a phishingové útoky. Podle zdroje mělo rozšíření za méně než měsíc od spuštění přes 185 000 stažení.

Podstatné je, že útok začíná v jednom sheetu, ale může zasáhnout více workbooků v účtu oběti. Funguje přes nepřímou prompt injection a podle PromptArmor nevyžaduje schválení ze strany uživatele ani ve chvíli, kdy má uživatel v nastavení vypnuté automatické editace.

Jak útok funguje

Útok začíná, když uživatel pracuje na interním finančním modelu a importuje externí datový soubor. Ve scénáři PromptArmor obsahuje importovaný sheet skrytou prompt injection, například v bílém textu.

Uživatel se pak zeptá ChatGPT pro Google Sheets, aby mu pomohl data zapracovat do finančního modelu. Skrytá instrukce manipuluje model tak, aby spustil externí skript ovládaný útočníkem. Ten běží s oprávněními, která uživatel udělil rozšíření ChatGPT pro Google Sheets.

To může vést k několika důsledkům:

  1. Exfiltrace pracovních sešitů: Útočník může získat přístup k mnoha pracovním sešitům v účtu oběti.
  2. Phishingové pop-up okno: Může se zobrazit interaktivní phishingové okno, které se snaží získat citlivé informace od uživatele.
  3. Ovládání GPT sidebaru: Útočník může přepsat celý sidebar GPT a nahradit ho vlastním rozhraním.
  4. Úpravy pracovních sešitů: Útočník může provádět změny v pracovních sešitech oběti.

PromptArmor navíc upozorňuje, že kliknutí na tlačítko „stop“ v ChatGPT sidebaru nezastaví skripty, které se už začaly spouštět.

Odpověď OpenAI

OpenAI na výzkum reagovala s tím, že report propadl mezerou v disclosure procesu. Podle vyjádření firma po seznámení s reportem odstranila schopnost modelu generovat Apps Script kód, což by mělo eliminovat popsané riziko pro uživatele ChatGPT pro Google Sheets.

OpenAI také uvedla, že se znovu podívá na to, jak tato funkce interaguje s Google Sheets API, a přehodnotí svůj přístup k sandboxingu. Zmínila i širší re-review podobných funkcí v dalších prostředích, aby byly obrany proti prompt injection konzistentní.

Důsledky pro uživatele

Tato zranitelnost je obzvlášť znepokojivá, protože ukazuje, jak snadno mohou být uživatelská data ohrožena, pokud jsou použity nezabezpečené externí zdroje. Uživatelé by měli být obezřetní při importování dat z neznámých nebo nedůvěryhodných zdrojů a měli by si být vědomi potenciálních rizik spojených s používáním AI nástrojů v citlivých pracovních prostředích.

Zajímavé na této situaci je, že i když OpenAI na zranitelnost reagovala, samotný proces odhalení a reakce ukazuje na potřebu lepší komunikace a transparentnosti v oblasti bezpečnosti AI nástrojů. Uživatelé by měli mít jasné informace o potenciálních rizicích a schopnostech těchto nástrojů, aby mohli činit informovaná rozhodnutí.