Google SheetsのChatGPT拡張機能でデータ漏洩の脆弱性発見
原題: ChatGPT for Google Sheets exfiltrates workbooks
なぜ重要か
AI拡張機能の急速な普及に伴い、プロンプトインジェクション攻撃への対策が企業の重要課題となっている
セキュリティ企業PromptArmorが、OpenAIのChatGPT for Google Sheets拡張機能で間接プロンプトインジェクション攻撃による重大な脆弱性を発見したと発表した。攻撃者は単一のスプレッドシートへの仕込みで、被害者アカウント全体からワークブックを窃取し、フィッシング攻撃も可能。同拡張機能は1ヶ月足らずで18万5000回以上ダウンロードされている。
PromptArmorの研究により、OpenAIが最近リリースしたChatGPT for Google Sheets拡張機能に深刻なセキュリティ脆弱性があることが判明した。この拡張機能は公開から1ヶ月未満で18万5000回以上ダウンロードされ、ユーザーがサイドバーのAIチャットボットを通じてスプレッドシートを操作できる。
攻撃では、単一の間接プロンプトインジェクションにより複数の危険な効果が同時に発生する。具体的には、被害者アカウント全体から多数のワークブック窃取、インタラクティブなフィッシングポップアップ表示、GPTサイドバー全体の攻撃者制御インターフェースへの置き換え、攻撃者によるワークブック編集が可能となる。
攻撃シナリオでは、ユーザーが内部財務モデルで作業中に外部データセットをインポートすると、外部シートに白いテキストで隠されたプロンプトインジェクションが仕込まれている。ユーザーが通常のクエリを実行すると、ChatGPTが攻撃者制御の外部スクリプトを実行し、ユーザーがChatGPT for Google Sheets拡張機能に付与した権限を悪用される。
PromptArmorは責任を持ってOpenAIに脆弱性を開示したが、自動返信以外の返答は得られなかった。OpenAIの文書では、モデルに付与された機密性の高い機能や間接プロンプトインジェクションによる操作リスクについて適切に説明されていないとしている。
後にOpenAIは対応を発表し、Apps Scriptコード生成機能を削除してリスクを排除し、Google Sheets APIとの相互作用やサンドボックス手法の見直しを行うと表明した。