Uma extensão lançada pela OpenAI há menos de um mês permitia que invasores roubassem dados de planilhas inteiras de um usuário a partir de uma única instrução escondida em um arquivo. A falha no ChatGPT for Google Sheets, já com mais de 185 mil downloads, foi descoberta pela empresa de segurança PromptArmor e só foi corrigida depois que o caso veio a público.
Pior: segundo os pesquisadores, a OpenAI ignorou o aviso enviado por canais oficiais e só se manifestou após a divulgação.
Como o ataque funcionava
A técnica explora o que se chama de injeção indireta de prompt. Basta que o usuário importe uma planilha aparentemente inofensiva — ou conecte uma fonte externa via os connectors do ChatGPT — para que instruções maliciosas escondidas no conteúdo sejam interpretadas como comandos pelo modelo.
A partir daí, uma única pergunta banal do usuário podia disparar, de uma só vez: a exfiltração de várias planilhas da conta da vítima, a exibição de um pop-up de phishing, a substituição da barra lateral do ChatGPT por uma interface controlada pelo atacante e edições silenciosas nos próprios arquivos.
O detalhe mais grave, segundo o relatório da promptarmor.com, é que o ataque acontecia sem pedir confirmação humana — mesmo quando o usuário havia configurado explicitamente a exigência de aprovação manual antes de qualquer edição feita pelo ChatGPT.
O que a OpenAI fez (e o que não fez)
Depois que a falha ganhou visibilidade, a OpenAI respondeu publicamente. A empresa reconheceu que o relatório “escapou por uma brecha no nosso pipeline de divulgação” e disse ter removido a capacidade do modelo de gerar código Apps Script, o que, segundo ela, elimina o risco imediato.
A empresa também afirmou que vai reavaliar a forma como a extensão interage com as APIs do Google Sheets e revisar funcionalidades parecidas em outros produtos. A pergunta que fica é por que esse tipo de avaliação não veio antes de soltar a ferramenta para o público.
A PromptArmor afirma que tentou contato múltiplas vezes com a OpenAI durante o processo de divulgação responsável e só recebeu uma resposta automática. A documentação oficial da extensão, segundo os pesquisadores, também não menciona que o modelo tem permissão para rodar scripts privilegiados, nem alerta sobre os riscos de manipulação via prompt injection.
Por que isso importa pra você
Esse caso é mais um capítulo de um problema que vem se repetindo: integrações de IA com ferramentas de produtividade estão sendo lançadas mais rápido do que as defesas contra ataques de prompt injection conseguem amadurecer. E o usuário comum, muitas vezes, sequer sabe que está concedendo permissões amplas ao instalar uma extensão.
Para quem usa ChatGPT integrado ao Google Workspace, Notion, Gmail ou qualquer outra ferramenta com acesso a dados sensíveis, vale uma regra simples: trate cada nova extensão de IA como um aplicativo de terceiros com acesso total à sua conta — porque, na prática, é exatamente isso que ela é.
O episódio também acende um alerta para empresas. Funcionários instalando extensões de IA sem validação podem abrir portas para vazamentos de dados corporativos sem qualquer clique malicioso. O ataque, neste caso, vinha de dentro de uma planilha — algo que nenhum filtro de e-mail tradicional pegaria.
Fonte: promptarmor.com · Imagem de capa: promptarmor.com