OpenAI 的 ChatGPT for Google Sheets 扩展上线不到一个月,下载量已约 18.5 万。PromptArmor 最近披露了一个演示攻击:用户只是正常问一句“帮我把外部数据整合进财务模型”,模型却可能被外部表格里的隐藏指令带偏,转而运行攻击者控制的脚本。
更反常的是,用户已经关闭 Apply edits automatically,设置为需要人工批准,攻击仍可成功。点击侧边栏里的 Stop,也不能终止已经启动的脚本。
这不是普通的“插件又出 bug”。它指向一个更硬的问题:AI 助手一旦同时拥有读取内容、调用脚本、访问账户数据的能力,提示注入就不再是聊天层面的恶作剧,而会变成权限滥用。
攻击怎么跑起来:一张外部表格就够了
PromptArmor 给出的攻击链并不绕。
外部表格里藏入提示注入内容,比如白色文字。用户把这份表导入自己的财务模型,随后让 ChatGPT for Google Sheets 处理数据。模型读取到隐藏指令后,被诱导执行攻击者控制的外部脚本。
脚本启动后,问题就不止是“改错几个单元格”。
| 问题 | PromptArmor 演示中的情况 |
|---|---|
| 触发方式 | 用户一次正常询问,加上外部表格中的隐藏提示注入 |
| 权限来源 | 用户此前授予 ChatGPT for Google Sheets 的权限 |
| 数据后果 | 外泄当前工作簿,并沿链接发现、外泄其他工作簿 |
| 界面后果 | 覆盖 ChatGPT 侧边栏,展示攻击者控制的界面 |
| 钓鱼风险 | 弹出假界面,诱导用户“重新连接”应用或输入凭证 |
| 控制后果 | 攻击者脚本可编辑表格,伪装成正常助手交互 |
PromptArmor 称,演示中最终外泄了 12 个工作簿。脚本还可以覆盖 ChatGPT 侧边栏,收集用户提示词,弹出钓鱼界面,甚至诱导用户连接更多应用。
范围也要说清楚。
这不等于所有 Google Sheets 用户都受影响。高风险对象是安装并授权 ChatGPT for Google Sheets、又会接触外部表格、不可信数据源、客户报价单、供应商清单、公开数据集的个人和组织。
目前材料证明的是攻击可行性,不是已经发生大规模真实攻击。这个边界很重要。安全判断不能靠吓人。
时间线则不太好看。PromptArmor 称,已于 2026 年 5 月 8 日向 OpenAI 披露,5 月 12 日、18 日多次跟进后,只收到初始自动回复,并在 5 月 27 日公开。原文没有说 OpenAI 已确认、已修复或拒绝修复。
接下来最该看的也很具体:OpenAI 是否补上脚本执行边界、是否改变人工批准逻辑、是否给 Workspace 管理员更清晰的权限控制和风险说明。
人工批准为什么没挡住:按钮不等于边界
很多人看到这里会卡住:既然关闭了自动编辑,为什么脚本还能跑?
这正是反常点。
传统软件里,确认框通常挡在危险动作前面。删除、转账、授权、执行脚本,用户点一次,系统做一次。动作和确认之间有相对清楚的边界。
AI 办公插件把事情搅混了。
它不是简单执行用户写下的命令,而是在“读内容”“理解意图”“决定调工具”之间来回切换。外部表格不再只是数据,它也可能变成影响模型行为的输入。
一旦模型把恶意文本当成任务指令,后面的脚本调用就会披上“助手正在帮你工作”的外衣。
Stop 按钮停不住已启动脚本,也说明了另一层问题:用户看见的是聊天侧边栏,真正跑起来的是脚本生命周期。界面像刹车,底层未必接了刹车线。
这让我想起早年 Office 宏病毒。类比不完全一样,今天多了模型理解和工具调用这一层。但重复的是同一种旧结构:办公软件为了效率打开自动化能力,攻击者就盯着自动化权限下手。
“利之所在,趋之若鹜。”企业上 AI 办公插件,是为了省时间、少复制粘贴、自动处理数据。攻击者盯上的,也是这条省事通道。
问题不在用户是否足够小心。财务、运营、销售每天都要处理外部表格。让他们靠肉眼识别白色文字、隐藏提示、脚本诱导,不现实。
企业该怎么做:先收权限,再谈效率
我不太买账“别导入恶意表格就行”的说法。
企业工作本来就依赖外部数据。报价单、客户清单、供应商表、公开数据集,全都可能进表格。如果一个工具的安全前提是“所有外部数据都可信”,那它就不适合默认铺开。
真正该检查的是权限设计。
如果 AI 插件只是帮你写公式,风险相对有限。可一旦它能读工作簿、运行脚本、编辑表格、打开侧边栏、展示网页,它就不再是智能输入框,而是一个被自然语言驱动的自动化代理。
模型看起来在聊天,系统层面却在代用户办事。
对企业 IT 和安全团队,动作应该更保守一点:
- 查清哪些账号安装并授权了 ChatGPT for Google Sheets。
- 高敏表格、财务模型、客户数据区,不要默认开放给这类插件。
- 对外部表格、连接器数据、脚本执行做隔离。
- 在 Google Workspace 管理端收紧第三方应用授权,至少别全员默认可用。
- 采购或推广 AI 办公插件前,要求供应商说明提示注入防护、脚本执行边界、Stop 语义和审计日志。
对普通个人用户,最现实的做法更简单:别在同一个授权环境里处理敏感表格和来路不明的外部数据。插件可以用,但不要把它接到所有文件、所有账号、所有应用上。
这里有一个现实约束:企业不会因为一次演示攻击就停掉 AI 办公。效率收益太明确,员工也已经开始用。真正的分水岭不是“用不用”,而是“默认全开”还是“按风险分区”。
采购团队可能会延后上线,等官方说明和修复状态。安全团队会要求更细的权限配置。产品团队也该调整设计:人工批准不能只批准表格改动,脚本执行、外部请求、侧边栏覆盖都应有独立边界。
这次最值得记住的,不是某个隐藏提示技巧,而是权限错位。
模型会犯错并不可怕。软件都会犯错。可怕的是它拿着钥匙,却被一张外部表格里的隐藏文字牵着走。
回到开头那个反常点:用户点了人工批准,按了 Stop,仍然挡不住脚本继续跑。这里暴露的不是一个按钮失灵,而是 AI 办公插件还没把“谁能发令、谁能执行、谁来负责”讲清楚。