Trong kỷ nguyên số, việc tích hợp các công cụ AI như ChatGPT vào Google Sheets mang lại hiệu suất vượt trội, nhưng tại 9learning, chúng tôi luôn nhấn mạnh rằng bảo mật dữ liệu phải là ưu tiên hàng đầu. Nhiều người dùng không lường trước được việc dữ liệu bảng tính có thể bị truyền tải ra ngoài thông qua các tiện ích mở rộng không an toàn.
ChatGPT dành cho Google Sheets dễ bị tấn công đánh cắp dữ liệu và tấn công lừa đảo qua lớp phủ, ảnh hưởng đến các bảng tính trên toàn bộ tài khoản của nạn nhân sau khi chèn gián tiếp lời nhắc vào một trang tính duy nhất.
Cuộc tấn công này không yêu cầu sự phê duyệt của con người, ngay cả khi trong phần cài đặt người dùng đã yêu cầu rõ ràng sự phê duyệt của con người trước khi ChatGPT chỉnh sửa sổ làm việc.
Cập nhật từ OpenAI:
"Chúng tôi đánh giá cao nghiên cứu bảo mật này, và thật không may là lỗ hổng này đã lọt qua quy trình công bố thông tin của chúng tôi. Sau khi biết về báo cáo này, chúng tôi đã ngay lập tức thực hiện các bước để bảo vệ người dùng khỏi các cuộc tấn công tiềm tàng trong lĩnh vực này bằng cách loại bỏ khả năng tạo mã Apps Script của mô hình, điều này sẽ loại bỏ rủi ro cho người dùng ChatGPT dành cho Google Sheets. Chúng tôi đang xem xét kỹ lưỡng cách tính năng này tương tác với API của Google Sheets và đánh giá lại sandbox của mình để đảm bảo sản phẩm này có khả năng chống lại các cuộc tấn công nhanh chóng ở mức cao nhất. Nói rộng hơn, chúng tôi sẽ xem xét lại các chức năng tương tự trên các nền tảng khác để đảm bảo rằng các biện pháp phòng thủ của chúng tôi nhất quán và hiệu quả trên diện rộng."
Overview
Gần đây, OpenAI đã ra mắt một tiện ích mở rộng (extension) AI cho phép sử dụng ChatGPT ngay trong Google Sheets. Chỉ chưa đầy một tháng kể từ khi ra mắt, tiện ích này đã đạt hơn 185.000 lượt tải. Nó cho phép người dùng thao tác trên bảng tính bằng cách trò chuyện với một chatbot AI nằm ở thanh bên (sidebar), kèm theo lợi ích là có thể khai thác dữ liệu từ các connector của ChatGPT.
Chỉ cần một câu lệnh độc hại được gài sẵn trong dữ liệu (indirect prompt injection), được kích hoạt bởi một truy vấn tưởng chừng vô hại của người dùng, có thể đồng thời gây ra tất cả các hậu quả sau:
- Đánh cắp và rò rỉ nhiều file bảng tính (workbook) trên khắp tài khoản của nạn nhân
- Hiển thị một pop-up lừa đảo (phishing) có tính tương tác
- Ghi đè toàn bộ sidebar GPT bằng một giao diện chatbot do kẻ tấn công kiểm soát
- Chỉnh sửa các bảng tính của bạn theo ý kẻ tấn công
Cuộc tấn công này xảy ra khi bất kỳ nguồn dữ liệu không đáng tin cậy nào (ví dụ: từ một sheet được import vào hoặc từ connector của ChatGPT) thao túng ChatGPT để chạy một đoạn script bên ngoài do kẻ tấn công kiểm soát. Đoạn script này được thực thi bằng cách lợi dụng các quyền mà người dùng đã cấp cho tiện ích ChatGPT for Google Sheets.
Lỗ hổng này đã được báo cáo cho OpenAI theo quy trình công bố có trách nhiệm (responsible disclosure). Dù đã liên hệ nhiều lần, chúng tôi không nhận được phản hồi nào ngoài một email tự động trả lời cho báo cáo ban đầu. Tài liệu của OpenAI không hề mô tả các khả năng nhạy cảm được cấp cho mô hình (ví dụ: chạy các script có đặc quyền) hay rủi ro mô hình bị thao túng qua tiêm lệnh gián tiếp; thay vào đó chỉ tập trung vào các giới hạn về chức năng và các vấn đề xử lý dữ liệu. Vì vậy, chúng tôi công bố các phát hiện của mình để giúp người dùng có thể đưa ra quyết định sáng suốt về bề mặt rủi ro (risk surface) này.
The Attack Chain
- A user is working on an internal financial model
- The user imports an external data set to use in their model
- The external sheet has a prompt injection hidden in white text.
- The user asks ChatGPT for Google Sheets to help integrate the data from the imported sheet into their financial model.
- The injection manipulates ChatGPT for Google Sheets to run an external script Note: ChatGPT for Google Sheets has a setting called ‘Apply edits automatically’ that determines when human approvals are required before an agentic action completes. However, this attack succeeds even when the user has explicitly disabled automatic edits.
- The external script exfiltrates the financial model from the user’s workbook Below, the attacker's server logs show the user’s exfiltrated financial model.
- The external script identifies links to other workbooks in the stolen data, exfiltrates the discovered workbooks, and continues across all workbooks it can find Here, the internal financial model sheet included a link to another spreadsheet relevant to budgeting. The malicious script identifies the spreadsheet URL in the stolen data and exfiltrates the newly discovered workbook. It then continues to process the stolen data, identifying and exfiltrating additional workbooks, eventually exfiltrating 12 in total. Note: Clicking the ‘stop’ button in the ChatGPT sidebar does not stop scripts that have started from finishing execution.
Phishing Overlay Attacks
In addition to the data exfiltration described above, the same attacker-controlled scripts enable a malicious actor to target two variants of a phishing overlay attack.
Variant 1: A sidebar is opened that overlays the ChatGPT for Google Sheets extension with an attacker-controlled site, allowing the attacker to impersonate the extension. The malicious sidebar can execute scripts that edit the sheet in the same way ChatGPT can, allowing it to act in most of the ways the extension normally does, while also performing malicious activities such as:
- Harvesting all user prompts
- Providing the user with a misaligned chatbot to interact with
- Convincing the user to ‘reconnect’ connectors to gain access to additional apps
- Displaying a phishing UI to steal credentials for OpenAI
Variant 2: A pop-up modal is opened that renders an attacker-controlled website to phish the user for credentials.
Control Access to ChatGPT for Google Sheets
Các tổ chức có thể sử dụng cấu hình sau để kiểm soát quyền truy cập vào ChatGPT for Google Sheets:
Workspace settings > Permissions & roles > ChatGPT for Excel and Google Sheets
UPDATE: OpenAI has responded; details are at the top of the article.
Lỗ hổng này đã được báo cáo cho OpenAI theo quy trình công bố có trách nhiệm (responsible disclosure). Dù đã liên hệ nhiều lần, chúng tôi không nhận được phản hồi nào ngoài một email tự động trả lời cho báo cáo ban đầu. OpenAI's documentation không hề mô tả các khả năng nhạy cảm được cấp cho mô hình (ví dụ: chạy các script có đặc quyền) hay rủi ro mô hình bị thao túng qua việc cài lệnh ẩn (indirect prompt injection); thay vào đó chỉ tập trung vào các giới hạn về chức năng và các vấn đề xử lý dữ liệu. Vì vậy, chúng tôi công bố các phát hiện của mình để giúp người dùng có thể đưa ra quyết định sáng suốt về bề mặt rủi ro (risk surface) này.
Tổng kết lại các biện pháp bảo vệ dữ liệu quan trọng
- Chỉ sử dụng các tiện ích mở rộng từ nguồn uy tín và đã được xác thực bởi Google Workspace Marketplace.
- Kiểm tra chính sách bảo mật của nhà phát triển để xem dữ liệu của bạn có được dùng để huấn luyện mô hình AI hay không.
- Tạo các file Google Sheets riêng biệt, loại bỏ các cột chứa thông tin định danh cá nhân (PII) trước khi gửi dữ liệu cho AI xử lý.
- Sử dụng các giải pháp API doanh nghiệp thay vì các add-on miễn phí không rõ nguồn gốc.
Công nghệ AI là một người trợ lý đắc lực, nhưng chỉ khi chúng ta biết cách kiểm soát nó một cách an toàn và thông minh.
— Chuyên gia tại 9learning
