Ein KI-Assistent in der Seitenleiste von Google Sheets, der Formeln baut und Daten aufbereitet. Klingt praktisch, doch ein neuer Sicherheitsbericht zeigt eine unangenehme Kehrseite. Unter Umständen wandern dabei ganze Tabellen an Fremde.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Das Add-on ChatGPT in Google Sheets lässt sich über manipulierte Fremddaten dazu bringen, Arbeitsmappen aus dem Konto des Opfers abfließen zu lassen. Die Sicherheitsfirma PromptArmor hat die Schwachstelle dokumentiert und Ende Mai veröffentlicht, nachdem OpenAI über eine automatische Eingangsbestätigung hinaus nicht reagiert hatte. Betroffen ist ein Werkzeug mit Millionen Installationen.
Das Wichtigste in Kürze
- Eine manipulierte importierte Tabelle kann das Add-on zu Aktionen verleiten, die der Nutzer nie angefordert hat.
- Im dokumentierten Fall flossen zwölf Arbeitsmappen aus dem Konto des Opfers ab, ausgelöst durch eine einzige harmlose Anfrage.
- Der Angriff gelang auch dann, wenn die manuelle Freigabe für Bearbeitungen eingeschaltet war.
- Unternehmen können den Zugriff zentral über die Google-Workspace-Einstellungen sperren.
Wie kann ein Tabellen-Add-on Daten preisgeben?
Manipulierte Fremddaten bilden den Ausgangspunkt. Wer eine externe Tabelle in sein Modell importiert, holt sich womöglich verstecke Anweisungen ins Haus, die der KI-Assistent als Befehl missversteht. Fachleute nennen das indirekte Prompt Injection. Die KI führt dann Aktionen aus, die im Interesse eines Angreifers liegen, nicht im Interesse des Nutzers.
Weitreichende Rechte verschärfen das Problem. Das Add-on darf auf die Tabellen des Nutzers zugreifen und externe Inhalte verarbeiten. Genau diese Berechtigungen nutzt der dokumentierte Angriff aus, um über eine erste Arbeitsmappe hinaus weitere verknüpfte Tabellen aufzuspüren und ebenfalls abzugreifen. Der Stopp-Knopf in der Seitenleiste hält einen bereits laufenden Vorgang nicht auf.
„Ein KI-Add-on bekommt oft mehr Rechte, als den meisten Nutzern bewusst ist. Entscheider sollten jede KI-Erweiterung wie einen externen Dienstleister behandeln und ihr nur die Daten anvertrauen, deren Verlust sie verkraften könnten.“ — Markus Seyfferth, Chefredakteur Dr. Web
Was sollten Unternehmen jetzt tun?
Zugriff prüfen steht an erster Stelle. Über die Workspace-Einstellungen unter Berechtigungen und Rollen lässt sich der Zugang zum Add-on zentral steuern oder sperren. IT-Verantwortliche sollten klären, wer im Unternehmen die Erweiterung installiert hat und auf welche Tabellen sie zugreifen darf.
Fremddaten misstrauen lautet die zweite Lehre. Importierte Tabellen aus unbekannter Quelle gehören nicht ungeprüft in ein KI-gestütztes Modell. Die Debatte um manipulierte Inhalte trifft auch andere Bereiche, etwa den Umgang mit KI-Crawlern und die Abwehr von KI-Phishing im Mittelstand.
Den vollständigen Befund samt Zeitleiste der Offenlegung dokumentiert der Bericht von PromptArmor. Für Unternehmen lohnt eine grundsätzliche Inventur: Welche KI-Erweiterungen laufen in der Organisation, und welche Rechte haben sie?
