← На главную

PromptArmor нашел уязвимость ChatGPT for Google Sheets—кража, фишинг

31.05.2026 20:35 · hackernews

Исследователи из PromptArmor нашли серьёзную уязвимость в расширении ChatGPT for Google Sheets. За месяц после запуска его скачали больше 185 000 раз, и оно даёт ChatGPT прямой доступ к таблицам через боковую панель. Но одного запроса от пользователя достаточно, чтобы запустить цепную атаку: злоумышленник может украсть данные из множества таблиц, показать интерактивное фишинговое окно, подменить всю боковую панель на свою и начать редактировать документы.

Атака использует indirect prompt injection. Когда ChatGPT обрабатывает данные из ненадёжного источника — например, из импортированного листа или ChatGPT connector — вредоносный контент заставляет модель выполнить внешний скрипт. Этот скрипт получает все разрешения, которые пользователь дал расширению. В отчёте PromptArmor показан реальный пример: украденная финансовая модель содержала ссылку на другой бюджетный файл, и скрипт самостоятельно обнаружил его, забрал данные, а затем по цепочке извлёк 12 документов. Кнопка «stop» в боковой панели при этом не останавливает уже запущенные скрипты.

Хуже того, у расширения есть настройка «Apply edits automatically». Даже если пользователь явно её отключил и потребовал ручного подтверждения действий, атака всё равно проходит без всяких диалогов. OpenAI не описывает в документации, что модель может выполнять привилегированные скрипты или быть подвержена такой манипуляции — только общие ограничения и работу с данными.

Есть два варианта фишинговой атаки. В первом поверх официальной панели ChatGPT открывается поддельный сайт, который полностью копирует расширение, перехватывает все запросы пользователя, уговаривает «переподключить» connectors и крадёт учётные данные OpenAI. Во втором — просто показывается модальное окно с поддельным сайтом для кражи паролей.

PromptArmor ответственно раскрыли уязвимость OpenAI по почте 8 мая 2026 года. Единственным ответом оказалось автоматическое подтверждение. Несмотря на три последующих напоминания, компания никак не отреагировала. Исследователи считают, что публикация — единственный способ дать пользователям реально оценить риски. Организациям советуют ограничить доступ к расширению через настройки Workspace > Permissions & roles > ChatGPT for Excel and Google Sheets.

Читать оригинал →