ChatGPT для Google Sheets крадёт 12 ваших таблиц за один prompt injection. Без подтверждения

PromptArmor обнаружил: расширение ChatGPT для Google Sheets с 185 000 установок уязвимо к indirect prompt injection. Одна вредоносная ячейка в импортированном листе заставляет ChatGPT сгенерировать и выполнить Apps Script, который экфильтрирует до 12 таблиц жертвы и разворачивает фишинговый интерфейс — всё без human-in-the-loop, даже если в настройках включено «требовать подтверждение перед редактированием».

Исследователи сообщили OpenAI 8 мая. Автоматическое подтверждение. Follow-up 12 и 18 мая — тишина. 27 мая — публикация. 31 мая OpenAI ответил: убрали возможность генерировать Apps Script. Макс из security-команды OpenAI в треде написал: «Мы ценим исследование, и жаль, что это провалилось в нашем disclosure pipeline».

Саймон Виллисон (автор datasette, один из главных голосов по LLM-безопасности) подтвердил: это классическая «lethal trifecta» — модель принимает untrusted input, имеет доступ к sensitive data, и может выполнять действия. Три условия вместе = гарантированный exploit.

Инженер из enterprise-компании объяснил, почему exfiltration — главный blocker для adoption агентов: «Мы не можем найти способ обойти то, что скармливаем данные софту, в который у нас нет visibility». Другой заметил: «Нам нужен нормальный application layer для безопасной работы с AI — втыкать LLM в критическую инфраструктуру без этого не работает».

Паттерн повторяется третий месяц подряд: расширение для продуктивности + LLM + широкие permissions = вектор для prompt injection. Пока модели не научатся различать инструкции и данные — любой инструмент с LLM и доступом к файлам является потенциальной дырой.