ChatGPT per Google Fogli: scoperto un rischio di fuga dati

Un semplice foglio di calcolo può trasformarsi in uno strumento per sottrarre dati sensibili senza che l’utente se ne accorga.

È lo scenario inquietante descritto da PromptArmor in una nuova analisi dedicata alle integrazioni tra modelli linguistici e piattaforme di produttività. Al centro della dimostrazione c’è GPT for Google Fogli, uno dei componenti più utilizzati per collegare le API dei modelli AI ai documenti Google Workspace.

Non si tratta di una vulnerabilità tradizionale come un buffer overflow o un bypass dell’autenticazione: il problema nasce dall’interazione tra agenti AI, dati esterni e funzioni automatiche dei fogli di calcolo.

ChatGPT per Google Fogli: come funziona l’attacco

Lo scenario parte da una situazione apparentemente innocua. Un utente apre un foglio Google contenente dati aziendali o documentazione operativa e utilizza GPT per Google Fogli per analizzare o rielaborare i contenuti.

All’interno di uno dei fogli viene però inserito testo nascosto, progettato per essere letto dal modello AI ma non dall’utente: istruzioni mascherate attraverso celle poco visibili, colori identici allo sfondo o elementi che sembrano semplici metadati.

Quando il modello elabora il documento, interpreta anche quelle istruzioni e può essere indotto a eseguire azioni non richieste. Uno degli scenari più pericolosi descritti da PromptArmor consiste nella generazione automatica di formule che effettuano richieste verso server esterni controllati dall’attaccante. Google Fogli dispone infatti di funzioni come IMPORTXML, IMPORTDATA e IMAGE capaci di generare richieste HTTP verso domini esterni: se un agente AI riceve istruzioni malevole e crea formule contenenti dati riservati all’interno degli URL, il foglio diventa un canale di data exfiltration. L’utente vede una formula apparentemente legittima, mentre il server remoto riceve informazioni che non avrebbero dovuto lasciare il documento.

PromptArmor sottolinea inoltre che una singola prompt injection potrebbe influenzare l’elaborazione di altri workbook accessibili dallo stesso account, ampliando notevolmente la superficie di attacco rispetto a un documento isolato. Un caso analogo aveva già coinvolto Sheets AI di Ramp, piattaforma per l’analisi finanziaria, dove istruzioni nascoste in dati importati avevano spinto il sistema a inviare informazioni riservate verso server esterni. Ramp ha successivamente corretto il problema dopo la segnalazione dei ricercatori.

Perché il problema è difficile da risolvere

Gli attacchi di prompt injection non sono una novità, ma il loro impatto sta crescendo rapidamente con la diffusione degli agenti AI autonomi. Nei chatbot tradizionali l’attaccante deve convincere l’utente a eseguire azioni specifiche.

Nei sistemi agentici il modello può leggere documenti, generare contenuti, modificare file e utilizzare strumenti integrati in modo autonomo. Bloccare completamente questo tipo di attacchi è complesso perché il modello deve continuare a leggere contenuti esterni per svolgere il proprio lavoro, e distinguere automaticamente tra istruzioni legittime e istruzioni malevole resta uno dei problemi aperti più difficili nella sicurezza dei sistemi AI.

Le strategie più diffuse prevedono filtri specifici al rilevamento delle prompt injection, isolamento degli strumenti usati dagli agenti e conferme esplicite prima delle operazioni sensibili. PromptArmor sta lavorando su sistemi di rilevamento automatico delle istruzioni nascoste, con risultati promettenti nei benchmark dedicati.

La conclusione della ricerca è diretta: trattare i contenuti elaborati dagli agenti AI come dati completamente affidabili rappresenta un rischio crescente, destinato ad aumentare con l’espansione degli strumenti autonomi nei flussi di lavoro aziendali.