Un foglio di calcolo all’apparenza banale può diventare il punto di partenza per sottrarre informazioni riservate, e l’utente potrebbe non rendersene conto. È questo il rischio legato a ChatGPT per Google Fogli emerso da un’analisi di PromptArmor dedicata alle integrazioni tra modelli linguistici e piattaforme di produttività. Sotto la lente è finito GPT for Google Fogli, uno dei componenti più diffusi per collegare le API dei modelli di intelligenza artificiale ai documenti di Google Workspace.
Qui non parliamo di una falla classica, tipo un buffer overflow o un aggiramento dell’autenticazione. Il guaio nasce altrove: dall’incontro tra agenti AI, dati che arrivano dall’esterno e le funzioni automatiche che i fogli di calcolo mettono a disposizione. Una combinazione che, messa nelle mani sbagliate, apre scenari poco rassicuranti.
Come funziona l’attacco a ChatGPT per Google Fogli
Tutto comincia da una situazione che sembra del tutto normale. Qualcuno apre un foglio Google con dentro dati aziendali o documentazione di lavoro e usa lo strumento per analizzare o rielaborare il contenuto. Fin qui niente di strano. Solo che dentro a uno di quei fogli è stato infilato del testo nascosto, pensato apposta per essere letto dal modello ma invisibile a chi sta davanti allo schermo: istruzioni camuffate dentro celle poco evidenti, colori identici allo sfondo, oppure elementi spacciati per semplici metadati.
Quando il modello elabora il documento legge anche quelle istruzioni, e può finire per eseguire azioni che nessuno gli ha chiesto. Lo scenario più insidioso descritto da PromptArmor riguarda la generazione automatica di formule che inviano richieste verso server esterni controllati dall’attaccante. Google Fogli, infatti, mette a disposizione funzioni come IMPORTXML, IMPORTDATA e IMAGE, tutte capaci di generare richieste HTTP verso domini esterni. Se un agente riceve istruzioni malevole e crea formule che inseriscono dati riservati dentro gli URL, il foglio si trasforma in un canale di data exfiltration. L’utente vede una formula che sembra perfettamente legittima, mentre dall’altra parte un server remoto incassa informazioni che non avrebbero mai dovuto uscire da quel documento.
C’è di più. Una singola prompt injection potrebbe condizionare l’elaborazione di altri workbook accessibili dallo stesso account, allargando di parecchio la superficie di attacco rispetto a un singolo file isolato. Un episodio simile aveva già toccato Sheets AI di Ramp, piattaforma per l’analisi finanziaria, dove istruzioni nascoste in dati importati avevano spinto il sistema a spedire informazioni riservate verso server esterni. Ramp ha poi corretto il problema dopo la segnalazione dei ricercatori.
Perché è una falla così difficile da chiudere
Gli attacchi di prompt injection non sono certo una scoperta dell’ultima ora, ma il loro peso sta crescendo veloce con la diffusione degli agenti AI autonomi. Nei chatbot di vecchia generazione l’attaccante doveva comunque convincere l’utente a compiere azioni precise. Nei sistemi agentici il discorso cambia: il modello legge documenti, genera contenuti, modifica file e usa strumenti integrati in totale autonomia.
Fermare del tutto questo tipo di attacchi è complicato, perché il modello deve continuare a leggere contenuti esterni per fare il suo lavoro. E distinguere in automatico tra un’istruzione lecita e una malevola resta uno dei nodi più difficili da sciogliere nella sicurezza dei sistemi AI. Le contromisure più usate prevedono filtri specifici per individuare le prompt injection, isolamento degli strumenti a disposizione degli agenti e conferme esplicite prima delle operazioni delicate. PromptArmor sta mettendo a punto sistemi di rilevamento automatico delle istruzioni nascoste, con risultati che nei benchmark dedicati si stanno rivelando promettenti.