ChatGPT for Google Sheets 爆資安漏洞:1 段提示就能偷走整個帳號的 Excel

ChatGPT for Google Sheets 爆資安漏洞:1 段提示就能偷走整個帳號的 Excel

ChatGPT for Google Sheets 爆資安漏洞:1 段提示就能偷走整個帳號的 Excel

事件速報:Google Sheets 外掛變成資料小偷

今天早上資安團隊發現,很多人愛用的 ChatGPT for Google Sheets 外掛出現超嚴重漏洞。只要有人在任何一個試算表裡偷偷塞一段「提示注入」,就能把你整個 Google 帳號的 Excel 檔案全部打包帶走。

最可怕的是,就算你明明在設定裡開了「手動審核」,這個攻擊還是能繞過去,完全不經過你同意就開始搬資料。

攻擊是怎麼發生的?

想像一下:

  • 你公司用 Google Sheets 記客戶資料、報價單、甚至員工薪資
  • 某天同事 A 收到一份「合作廠商報價表」,裡面藏了一段惡意指令
  • 同事 A 打開檔案後,那段指令就像特洛伊木馬,開始掃描你們整個 Google Workspace
  • 幾分鐘內,所有客戶名單、報價、薪資表全被偷走

研究人員測試發現,整個過程 不需要點任何按鈕,連「允許 ChatGPT 編輯」的提示都不會跳出來。

OpenAI 緊急回應:直接拔掉功能

OpenAI 在得知消息後,立刻關閉了「自動產生 Apps Script」的功能。這就像發現家裡大門鎖壞了,乾脆把整扇門拆下來,至少小偷進不來。

但問題是:

  • 已經裝過外掛的帳號,還是可能殘留風險
  • 很多台灣公司用這個外掛做財報、人資管理,資料量超大

3 步驟立刻自保

第一步:檢查你有沒有裝

  1. 打開 Google 試算表
  2. 點右上角的「拼圖」圖示(外掛程式)
  3. 如果有看到「ChatGPT for Google Sheets」,先停用

第二步:封鎖可疑檔案

  1. 打開 Google 雲端硬碟
  2. 找到最近別人分享給你的 Excel 或 Sheets
  3. 右鍵 →「封鎖使用者」,避免對方再傳惡意檔案

第三步:把重要資料搬家

  1. 開一個全新的 Google 帳號(不要用公司主要帳號)
  2. 把報價單、薪資表、客戶資料複製過去
  3. 新帳號 不要裝任何 AI 外掛,先用純 Google Sheets

台灣企業該注意什麼?

根據資安團隊統計,台灣有 超過 3,000 家中小企業 正在用 ChatGPT for Google Sheets 做財報。如果你們公司也是:

  • 立即清查:誰有裝這個外掛?權限開多大?
  • 教育員工:不要隨便開啟來路不明的 Excel 檔案
  • 備份資料:把重要報表下載成 Excel 存在本地硬碟

替代方案:暫時先這樣做

在 OpenAI 修好漏洞前,建議:

  • 純 Google Sheets:先用內建的「探索」功能做基本分析
  • Excel 本機版:重要資料先用 Microsoft Excel 離線處理
  • Notion AI:如果一定要 AI 輔助,暫時改用 Notion 的表格功能

現在就行動

不要覺得「我們公司很小應該沒事」,這次攻擊就是專門針對中小企業。打開你的 Google 雲端硬碟,檢查一下有沒有可疑的分享檔案,把這篇轉給會計和行政同事,今天就把外掛先拔掉!