知名Google Sheets插件曝安全漏洞,AI办公安全再敲警钟
一款广受欢迎的“ChatGPT for Google Sheets”浏览器扩展程序近日被曝出严重的安全漏洞,可能允许攻击者跨账户窃取敏感数据。这一发现由安全研究公司PromptArmor发布,凸显了当前AI办公工具在安全防护方面仍面临的严峻挑战。该漏洞涉及“间接提示词注入”攻击,用户在导入包含隐藏恶意指令的外部数据集时,AI插件可能被暗中触发,绕过安全限制,访问和操作用户的工作簿。
该安全隐患的核心在于,攻击者可以通过用户无意中导入的恶意数据集,诱导AI插件执行未经授权的脚本。这些脚本能够渗透用户的财务模型,并进一步实现“横向移动”,自动发现并访问账户内链接的其他工作簿。这意味着,预算模板、合同台账等用户核心的敏感财务信息,都有可能被系统性地窃取,对个人和企业造成重大损失。
攻击链的恶劣程度并未止步于此。研究表明,该漏洞还能被利用进行钓鱼 Overlay 攻击。恶意脚本能够精妙地操控插件的界面,模拟官方扩展弹出认证窗口或权限请求对话框。由于这些伪造的弹窗与用户熟悉的官方界面别无二致,用户在缺乏戒备的情况下输入凭证信息,极有可能导致账号被彻底控制。安全专家已发出警告,呼吁用户立即审查并撤销不必要的表格读取权限。
AI办公插件的易用性在提高工作效率的同时,也带来了新的安全风险。这类工具通常需要访问用户的敏感数据才能发挥作用,如“ChatGPT for Google Sheets”这类直接操作表格数据的插件,其权限管理和输入输出的安全性显得尤为重要。此次漏洞事件提醒我们,在使用AI工具时,应格外关注其权限设置、数据隔离以及潜在的“越狱”风险,并及时更新插件以获得安全补丁。
此次安全事件再次强调了AI工具在数据安全和隐私保护方面的脆弱性。用户在使用此类插件时,应对其权限请求保持高度警惕,并仅在信任来源安装。同时,插件开发者也应加强安全审计,防范“间接提示词注入”等新型攻击手段,确保AI技术的健康发展。