事件速報:Google Sheets 外掛變成資料小偷
今天早上資安團隊發現,很多人愛用的 ChatGPT for Google Sheets 外掛出現超嚴重漏洞。只要有人在任何一個試算表裡偷偷塞一段「提示注入」,就能把你整個 Google 帳號的 Excel 檔案全部打包帶走。
最可怕的是,就算你明明在設定裡開了「手動審核」,這個攻擊還是能繞過去,完全不經過你同意就開始搬資料。
攻擊是怎麼發生的?
想像一下:
- 你公司用 Google Sheets 記客戶資料、報價單、甚至員工薪資
- 某天同事 A 收到一份「合作廠商報價表」,裡面藏了一段惡意指令
- 同事 A 打開檔案後,那段指令就像特洛伊木馬,開始掃描你們整個 Google Workspace
- 幾分鐘內,所有客戶名單、報價、薪資表全被偷走
研究人員測試發現,整個過程 不需要點任何按鈕,連「允許 ChatGPT 編輯」的提示都不會跳出來。
OpenAI 緊急回應:直接拔掉功能
OpenAI 在得知消息後,立刻關閉了「自動產生 Apps Script」的功能。這就像發現家裡大門鎖壞了,乾脆把整扇門拆下來,至少小偷進不來。
但問題是:
- 已經裝過外掛的帳號,還是可能殘留風險
- 很多台灣公司用這個外掛做財報、人資管理,資料量超大
3 步驟立刻自保
第一步:檢查你有沒有裝
- 打開 Google 試算表
- 點右上角的「拼圖」圖示(外掛程式)
- 如果有看到「ChatGPT for Google Sheets」,先停用
第二步:封鎖可疑檔案
- 打開 Google 雲端硬碟
- 找到最近別人分享給你的 Excel 或 Sheets
- 右鍵 →「封鎖使用者」,避免對方再傳惡意檔案
第三步:把重要資料搬家
- 開一個全新的 Google 帳號(不要用公司主要帳號)
- 把報價單、薪資表、客戶資料複製過去
- 新帳號 不要裝任何 AI 外掛,先用純 Google Sheets
台灣企業該注意什麼?
根據資安團隊統計,台灣有 超過 3,000 家中小企業 正在用 ChatGPT for Google Sheets 做財報。如果你們公司也是:
- 立即清查:誰有裝這個外掛?權限開多大?
- 教育員工:不要隨便開啟來路不明的 Excel 檔案
- 備份資料:把重要報表下載成 Excel 存在本地硬碟
替代方案:暫時先這樣做
在 OpenAI 修好漏洞前,建議:
- 純 Google Sheets:先用內建的「探索」功能做基本分析
- Excel 本機版:重要資料先用 Microsoft Excel 離線處理
- Notion AI:如果一定要 AI 輔助,暫時改用 Notion 的表格功能
現在就行動
不要覺得「我們公司很小應該沒事」,這次攻擊就是專門針對中小企業。打開你的 Google 雲端硬碟,檢查一下有沒有可疑的分享檔案,把這篇轉給會計和行政同事,今天就把外掛先拔掉!