Una vulnerabilità scoperta nell’estensione ChatGPT per Google Sheets permetteva a un attaccante di sottrarre il contenuto di decine di fogli di calcolo con un singolo messaggio inviato dall’utente, senza che quest’ultimo si accorgesse di nulla. L’estensione, lanciata meno di un mese fa e già scaricata da oltre 185.000 utenti, è stata al centro di una ricerca della società PromptArmor, che ha identificato un attacco di tipo indirect prompt injection capace di aggirare persino i controlli di sicurezza impostati dall’utente.

Come funziona l’attacco: dal foglio importato al server dell’attaccante

Il meccanismo è semplice quanto insidioso. Un utente lavora su un modello finanziario interno e importa un set di dati da una fonte esterna. Quel foglio contiene, nascosta nel testo bianco su sfondo bianco, un’istruzione diretta al modello AI. Quando l’utente chiede a ChatGPT di integrare i dati importati nel proprio lavoro, l’istruzione nascosta viene eseguita: il modello viene manipolato per lanciare uno script esterno.

Quello script sfrutta i permessi già concessi dall’utente all’estensione e inizia a copiare i dati. Non si ferma al foglio aperto: individua i link ad altri fogli presenti nel documento rubato, li segue, e continua. Nel caso documentato da PromptArmor, l’attacco ha raggiunto 12 fogli di calcolo diversi, tutti inviati al server dell’attaccante senza alcuna interazione da parte della vittima.

Vale la pena sottolineare un dettaglio che rende la situazione particolarmente seria: l’estensione include un’opzione chiamata Apply edits automatically, che dovrebbe richiedere un’approvazione umana prima di eseguire modifiche. Questa protezione non ha fermato l’attacco. Allo stesso modo, il pulsante “stop” visibile nella barra laterale di ChatGPT non interrompe gli script già avviati.

Phishing integrato: quando la sidebar diventa una trappola

L’esfiltrazione dei dati non è l’unico rischio documentato. Gli stessi script possono aprire una seconda trappola: un pannello laterale che sostituisce visivamente l’interfaccia di ChatGPT con un sito controllato dall’attaccante, oppure una finestra pop-up che mostra un sito di phishing. In entrambi i casi l’utente si trova davanti a qualcosa che somiglia all’estensione originale, ma che in realtà:

• raccoglie tutti i prompt che l’utente digita
• mostra un chatbot modificato con risposte controllate dall’attaccante
• può chiedere di “ricollegare” account come Google Drive o altri servizi connessi
• può presentare una schermata di login falsa per rubare le credenziali OpenAI

Il pannello sostitutivo è in grado di eseguire script sul foglio di calcolo nello stesso modo dell’estensione originale, rendendo difficile per l’utente medio capire che qualcosa non va.

La risposta di OpenAI e la gestione della segnalazione

PromptArmor ha contattato OpenAI l’8 maggio 2026. Dopo una risposta automatica di conferma ricezione, il silenzio. Due solleciti inviati il 12 e il 18 maggio non hanno ricevuto risposta. La divulgazione pubblica è avvenuta il 27 maggio, dopo quasi tre settimane senza comunicazione diretta da parte dell’azienda.

OpenAI ha risposto solo il 31 maggio, riconoscendo il problema e annunciando una contromisura immediata: rimozione della capacità del modello di generare codice Apps Script, ovvero la funzionalità che rendeva possibile l’esecuzione degli script malevoli. L’azienda ha anche dichiarato di voler rivedere l’approccio al sandboxing dell’estensione e di avviare una revisione simile su altre superfici prodotto che espongono funzioni analoghe.

Questa vicenda si inserisce in un quadro più ampio di tensione tra rapidità di rilascio e sicurezza degli strumenti AI: una questione già emersa in altri contesti legati all’espansione degli agenti AI e alle loro interazioni con le API di servizi terzi, che abbiamo approfondito nella nostra guida agli agenti AI.

Come bloccare l’estensione ChatGPT per Google Sheets

Per le organizzazioni che usano Google Workspace, PromptArmor indica un percorso di mitigazione: le impostazioni di amministrazione permettono di bloccare l’accesso all’estensione tramite Workspace settings > Permissions & roles > ChatGPT for Excel and Google Sheets. La documentazione ufficiale di OpenAI, secondo i ricercatori, non descriveva le capacità sensibili del modello né i rischi legati alla manipolazione tramite prompt indiretti.

Il caso evidenzia un problema strutturale: le estensioni AI che operano su documenti personali o aziendali richiedono un modello di sicurezza più robusto di quello applicato ai chatbot tradizionali. La superfice di attacco si allarga ogni volta che un modello può eseguire codice, accedere ad API o leggere dati da fonti non verificate. La mossa di OpenAI di bloccare la generazione di Apps Script è una risposta rapida, ma rimanda la domanda su quante altre estensioni simili presentino superfici di attacco equivalenti ancora non mappate.