ChatGPT in Google Fogli, il nuovo rischio per i dati aziendali passa dalle prompt injection

Il rischio riguarda GPT for Google Sheets, integrazione usata dentro Google Fogli: istruzioni nascoste nei documenti possono spingere il modello a inviare informazioni verso server esterni. Non è la classica falla da chiudere con una patch. Il problema è più insidioso: nasce dall’incrocio tra modelli linguistici, fogli di calcolo e automatismi che lavorano sui dati degli utenti. Uno spazio quotidiano, familiare. E proprio per questo delicato.

Il caso PromptArmor: quando Google Fogli diventa un canale di esfiltrazione

Secondo l’analisi di PromptArmor, un normale documento di Google Workspace può trasformarsi in un canale di esfiltrazione di dati se viene letto da un agente AI collegato a ChatGPT o ad altri modelli linguistici. La dimostrazione riguarda GPT for Google Sheets, usato per fare domande sui dati, riassumere contenuti o trasformare informazioni direttamente nei fogli di calcolo. Una funzione comoda, almeno in apparenza, per uffici amministrativi, team commerciali, reparti finanziari e consulenti alle prese con grandi tabelle. Il punto, spiegano i ricercatori, è che anche un contenuto dall’aria innocua può nascondere istruzioni pensate non per chi apre il file, ma per il modello.

Il rischio nasce perché questi strumenti non si limitano a leggere. Possono interpretare dati, suggerire formule, modificare celle e, in alcuni casi, usare funzioni già presenti nel foglio. Il problema, in sostanza, non è il singolo comando malevolo, ma la fiducia concessa a ciò che l’agente sta leggendo. Una differenza pesante. In azienda, un documento condiviso può passare da un reparto all’altro, arrivare da fonti esterne o finire in una procedura automatica senza che qualcuno controlli davvero ogni riga.

Prompt injection nascoste nelle celle: così funziona l’attacco

Il meccanismo descritto da PromptArmor si basa sulle prompt injection: istruzioni infilate dentro un contenuto per guidare il comportamento del modello AI. In Google Fogli possono essere nascoste in celle poco visibili, scritte con lo stesso colore dello sfondo, spostate in zone laterali del documento o camuffate da metadati. L’utente vede una tabella, magari con ordini, budget o note operative. Il modello, invece, legge anche quello che all’occhio umano sfugge.

Quando GPT for Google Sheets elabora il file, può prendere quelle frasi per comandi. Da lì il passo è breve: il sistema può essere spinto a creare formule, riordinare dati o preparare risposte che includono informazioni riservate. Nella ricostruzione di PromptArmor non serve rubare una password né superare un controllo di accesso. L’attacco gioca sul confine, spesso fragile, tra contenuto del documento e istruzioni operative. Un confine ancora più delicato se il modello può accedere a più cartelle o workbook collegati allo stesso account.

I ricercatori citano anche un precedente: Sheets AI di Ramp, piattaforma usata per l’analisi finanziaria. In quel caso, istruzioni nascoste dentro dati importati avevano portato il sistema a inviare informazioni riservate verso server esterni. Ramp, dopo la segnalazione, ha corretto il problema. Il caso resta però indicativo: non si parla di prove astratte, ma di strumenti già entrati nel lavoro quotidiano di molte aziende.

IMPORTXML, IMPORTDATA e IMAGE: funzioni normali che possono far uscire i dati

La parte più concreta dell’attacco passa da funzioni del tutto legittime di Google Fogli, come IMPORTXML, IMPORTDATA e IMAGE. Sono comandi nati per recuperare contenuti da indirizzi web, importare dati strutturati o mostrare immagini da URL esterni. In condizioni normali aiutano a lavorare più in fretta. Se però il foglio viene manipolato, possono diventare una via di uscita per i dati.

PromptArmor descrive un esempio lineare: l’agente AI, condizionato da una prompt injection nascosta, genera una formula che inserisce dati sensibili dentro un URL. Quando il foglio esegue quella formula, parte una richiesta HTTP verso un dominio controllato dall’attaccante. A chi guarda lo schermo resta una formula tecnica, magari poco chiara ma non per forza sospetta. Sul server remoto, invece, arrivano pezzi di informazioni che non avrebbero dovuto lasciare il documento: nomi, valori, codici interni, dati dei clienti o righe di report.

È qui che il problema diventa davvero aziendale. Un solo foglio condiviso può contenere preventivi, note HR, dati contabili o credenziali copiate per errore. Se un agente AI può accedere anche ad altri documenti dello stesso spazio di lavoro, il rischio si allarga. PromptArmor insiste proprio su questo: una prompt injection piazzata in un file potrebbe influenzare anche l’elaborazione di altri workbook accessibili, andando oltre il documento di partenza.

Difese possibili: filtri, agenti isolati e conferme sulle operazioni sensibili

Le difese ci sono, ma da sole non bastano. Le aziende che usano ChatGPT in Google Fogli o strumenti simili dovrebbero adottare filtri per individuare istruzioni nascoste, limitare le funzioni capaci di fare richieste verso l’esterno e tenere gli agenti AI lontani dagli spazi più sensibili. Serve anche un controllo umano prima delle operazioni più delicate: formule con URL, accesso a documenti collegati, esportazione di dati o invio di contenuti a servizi esterni.

PromptArmor sta lavorando a sistemi automatici per rilevare le prompt injection, con test su casi simili. Ma il nodo, per ora, resta aperto. I modelli devono leggere contenuti esterni per essere utili. Allo stesso tempo, proprio quei contenuti possono contenere istruzioni ostili. Per gli amministratori IT significa rivedere permessi, log e regole d’uso degli strumenti AI. Per gli utenti la regola è più semplice, ma non meno importante: non considerare affidabile ogni foglio condiviso solo perché arriva da un ambiente conosciuto.

La lezione è chiara. Nei flussi di lavoro con agenti AI, un documento non è più soltanto un documento: può diventare un insieme di dati, comandi e automatismi. E in quel passaggio, spesso invisibile, passa una parte della nuova sicurezza aziendale.