ChatGPT for Google Sheets 是 OpenAI 上個月剛推出的 Google 表格 AI 插件，用戶可以在側邊欄直接用 ChatGPT 處理表格數據，上線不到一個月下載量就超過了 18.5 萬次。

但安全公司 PromptArmor 發現，這個插件有權限執行腳本、讀取和編輯你的工作簿，而這些權限可以被攻擊者劫持。攻擊者只需要在一個共享表格中藏一段白色隱藏文字，就能在你毫不知情的情況下竊取你整個 Google 帳戶裡的工作簿。
比如同事分享了一個 Google 表格給你，或者你從網上找了一份公開數據集導入自己的工作簿來用。這些都是日常操作，但攻擊者可以在這些表格裡藏一段白色文字（背景白色、字體白色，肉眼看不見），你打開表格完全不會注意到。
當 ChatGPT 幫你處理這些數據時，這段隱藏指令被一起讀取並觸發，ChatGPT 被操縱去執行一個外部腳本。腳本利用插件的權限，把你當前工作簿的內容發送到攻擊者的伺服器。
然後腳本會在被偷走的數據裡尋找其他工作簿的連結，繼續偷，像蠕蟲一樣擴散。在 PromptArmor 的演示中，一次攻擊最終偷走了 12 個工作簿。
ChatGPT for Sheets 有一個「編輯前需要人工確認」的安全設置，專門防止 AI 未經授權就執行操作。只不過這個攻擊在用戶明確開啟了該設置的情況下依然有效，因為它觸發的是腳本執行，不是表格編輯，繞過了這道防線。點擊側邊欄的「停止」按鈕也攔不住已經開始運行的腳本。
除了偷數據，同樣的漏洞還能讓攻擊者用一個假的 ChatGPT 介面替換掉側邊欄裡真正的 ChatGPT。替換之後，你以為自己還在跟 ChatGPT 對話，實際上所有提問都被攻擊者收集了。攻擊者甚至可以彈出一個釣魚視窗，騙你輸入 OpenAI 密碼。
PromptArmor 在 5 月 8 日向 OpenAI 提交了漏洞報告，OpenAI 回了一封自動回覆。之後 PromptArmor 在 5 月 12 日和 5 月 18 日分別跟進了一次，沒有收到任何實質性回應。5 月 27 日，PromptArmor 決定公開披露。
直到 5 月 31 日，OpenAI 才正式回應，承認「這個報告在我們的披露流程中被遺漏了」，並表示已經移除了模型生成 Apps Script 代碼的能力，「這應該能消除 ChatGPT for Google Sheets 用戶面臨的風險」。
從報告提交到漏洞修復，歷經 23 天。
Google Workspace 管理員可以在「Workspace 設置 > 權限與角色 > ChatGPT for Excel and Google Sheets」中關閉組織內對該插件的訪問。