ChatGPT untuk Google Sheets Bocorkan Data Workbook Lewat Prompt Injection

OpenAI baru-baru ini meluncurkan ekstensi ChatGPT untuk Google Sheets yang telah diunduh lebih dari 185.000 kali dalam waktu kurang dari sebulan. Fitur ini memungkinkan pengguna berinteraksi dengan spreadsheet melalui chatbot AI yang berjalan di sidebar. Namun sebuah penelitian keamanan yang dipublikasikan oleh PromptArmor mengungkapkan celah kritis: serangan indirect prompt injection tunggal bisa memicu eksfiltrasi data, popup phishing, pengambilalihan sidebar, dan manipulasi workbook secara bersamaan.

Yang lebih mengkhawatirkan, serangan ini berhasil bahkan ketika pengguna secara eksplisit telah menonaktifkan pengaturan Apply edits automatically dan memilih untuk memerlukan persetujuan manusia sebelum setiap tindakan agen. Celah ini menunjukkan bahwa batasan keamanan yang dijanjikan oleh OpenAI pada dokumentasinya tidak cukup kuat untuk mencegah exploitasi oleh aktor jahat.

Rantai serangan yang berbahaya

PromptArmor mendemonstrasikan rantai serangan yang dimulai dari hal yang tampaknya benign. Seorang pengguna bekerja pada model finansial internal di Google Sheets, kemudian mengimpor dataset eksternal untuk digunakan dalam model tersebut. Data eksternal ini bisa berasal dari sheet yang dibagikan publik, hasil query dari ChatGPT connector, atau sumber lain yang tidak sepenuhnya terpercaya.

Dalam dataset tersebut, attacker menyisipkan prompt injection yang disembunyikan dalam teks berwarna putih di sel spreadsheet. Ketika pengguna meminta ChatGPT untuk Google Sheets membantu mengintegrasikan data dari sheet yang diimpor, prompt injection tersebut memanipulasi AI untuk menjalankan external script yang dikontrol oleh attacker. Script ini kemudian dieksekusi dengan izin yang telah diberikan pengguna ke ekstensi ChatGPT untuk Google Sheets.

Dalam satu serangan tunggal, efek berikut dapat terjadi secara simultan: eksfiltrasi banyak workbook dari seluruh akun korban, tampilan popup phishing interaktif yang meniru antarmuka Google, penggantian seluruh sidebar GPT dengan chatbot yang dikontrol attacker, dan pengeditan workbook oleh attacker. Semua ini terjadi tanpa persetujuan eksplisit dari pengguna meskipun pengaturan approval telah diaktifkan.

Tanggapan OpenAI dan implikasi keamanan

PromptArmor melaporkan kerentanan ini secara responsible disclosure kepada OpenAI. Meskipun telah melakukan beberapa follow-up, tim peneliti hanya menerima balasan otomatis dan tidak ada komunikasi lebih lanjut dari pihak OpenAI. Dokumentasi resmi OpenAI tentang ChatGPT untuk Excel dan Google Sheets juga gagal mendeskripsikan kemampuan sensitif yang diberikan kepada model, seperti menjalankan privileged scripts, atau risiko manipulasi model melalui indirect prompt injection. Dokumentasi tersebut justru fokus pada keterbatasan fungsional dan kekhawatiran penanganan data.

Indirect prompt injection merupakan vektor serangan yang semakin populer terhadap aplikasi AI yang terintegrasi dengan sistem eksternal. Berbeda dengan direct prompt injection di mana attacker langsung berinteraksi dengan model, indirect prompt injection menyusupkan instruksi jahat melalui data yang akan diproses oleh model. Karena model AI modern dilatih untuk mengikuti instruksi dalam konteks, model tersebut sulit membedakan antara instruksi yang dimaksudkan pengguna dan instruksi yang disusupkan oleh pihak ketiga melalui data eksternal.

Rekomendasi untuk pengguna

Bagi developer dan profesional yang menggunakan ChatGPT untuk Google Sheets dalam workflow produksi, beberapa langkah mitigasi dapat dilakukan. Hindari mengimpor data dari sumber yang tidak sepenuhnya terpercaya ke dalam sheet yang terhubung dengan ekstensi AI. Lakukan sanitasi dan verifikasi dataset eksternal sebelum diproses oleh AI. Pertimbangkan untuk menjalankan ekstensi AI hanya pada spreadsheet yang tidak mengandung data sensitif atau confidential.

Perusahaan juga sebaiknya meninjau kembali kebijakan penggunaan AI tools pada data internal. Fakta bahwa serangan ini dapat mengekstrak workbook dari seluruh akun pengguna menunjukkan bahwa ekstensi memiliki akses yang jauh lebih luas daripada yang diimplikasikan oleh antarmuka penggunanya. Scope permission dari ekstensi browser perlu dievaluasi dengan cermat sebelum deployment di lingkungan enterprise.

Incident ini menjadi pengingat bahwa integrasi AI ke dalam productivity tools membuka surface attack baru yang belum sepenuhnya dipahami. Kecepatan rilis fitur AI sering kali mengalahkan proses security review yang menyeluruh, dan pengguna perlu menyadari trade-off antara convenien dan security risk.

Sumber utama artikel ini berasal dari PromptArmor.