ChatGPT表格插件严重安全漏洞引发财务数据危机

AI办公工具越来越普及，很多职场人习惯用智能插件来搞定复杂的表格数据。但安全研究公司PromptArmor最近发布的一份报告，给整个行业泼了一盆冷水——一款名为“ChatGPT for Google Sheets”的浏览器扩展，竟然藏着一个相当棘手的网络安全漏洞。

恶意指令跨账户定向收割数据

漏洞的关键在于“间接提示词注入”攻击。简单说就是，当你日常导入一份看似正常的外部数据集时，如果里面暗藏了恶意指令，AI插件就会在毫不知情的情况下被悄然触发。黑客能借此突破传统的安全边界，直接调用外部脚本渗透你的财务模型，还能自动横向扫描，发现账户中关联的其他工作簿，系统性地把你的预算模板、合同台账等核心敏感资产一并卷走。

伪造官方弹窗精准窃取凭证

更让人防不胜防的是，攻击链还会进一步升级为钓鱼覆盖层攻击。恶意脚本能完美操控该插件的界面层，以官方扩展的名义主动弹出伪造的认证窗口或权限请求对话框。因为这些弹窗看起来完全来自你已授权的官方扩展，你在毫无防备之下输入凭证信息后，账号控制权就会被彻底窃取。目前安全专家给出的建议很直接——立刻审查已安装的AI扩展，撤销那些非必要的表格读取权限，别给漏洞留机会。