Un semplice foglio di calcolo può diventare un vettore di attacco sorprendentemente efficace quando entra in gioco l’intelligenza artificiale. È lo scenario descritto da PromptArmor in una nuova analisi che mette sotto i riflettori l’uso di Google Fogli con modelli linguistici e strumenti di produttività integrati.
Il punto critico non è una vulnerabilità classica, ma l’interazione tra contenuti esterni, automazioni e agenti AI capaci di leggere, interpretare e agire sui dati in modo autonomo. In questo contesto, un documento apparentemente innocuo può nascondere istruzioni pensate per essere lette dalla macchina e non dall’utente.
Google Fogli e prompt injection: il pericolo nascosto
Lo scenario parte da un file condiviso che contiene dati aziendali, note operative o informazioni interne. L’utente apre il foglio e utilizza un componente AI per analizzarne il contenuto, rielaborarlo o generare nuove formule. Nel documento, però, possono essere inseriti testi nascosti, celle con colore identico allo sfondo o metadati progettati per influenzare il modello senza destare sospetti.
Quando l’agente AI elabora il foglio, può interpretare anche quelle istruzioni malevole e trasformarle in azioni non richieste. Secondo i ricercatori, uno degli scenari più rischiosi è la generazione automatica di formule in grado di inviare richieste verso server esterni controllati dall’attaccante. Funzioni di Google Fogli come IMPORTXML, IMPORTDATA e IMAGE possono infatti aprire connessioni HTTP: se all’interno degli URL finiscono dati riservati, il foglio diventa un canale di data exfiltration.
Come avviene la sottrazione dei dati
Nel caso descritto da PromptArmor, l’utente vede solo una formula che sembra legittima, mentre dietro le quinte il server remoto riceve informazioni che non avrebbero dovuto lasciare il documento. Il problema è particolarmente delicato perché una singola prompt injection potrebbe influenzare anche altri workbook accessibili con lo stesso account, ampliando la superficie d’attacco oltre il file iniziale.
La dinamica non è nuova in assoluto. Un caso simile aveva già coinvolto Sheets AI di Ramp, una piattaforma usata per l’analisi finanziaria, dove istruzioni nascoste nei dati importati avevano spinto il sistema a trasmettere contenuti sensibili verso server esterni. Dopo la segnalazione dei ricercatori, il problema era stato corretto.
Perché difendersi è così complesso
Le prompt injection esistono da tempo, ma con gli agenti AI il rischio cresce perché i modelli non si limitano a rispondere: possono leggere documenti, modificare file, creare contenuti e usare strumenti integrati in autonomia. Bloccare del tutto questi attacchi è difficile, perché il sistema deve comunque poter analizzare dati esterni per svolgere il proprio lavoro.
Per questo le difese più usate includono filtri dedicati al rilevamento delle istruzioni nascoste, isolamento degli strumenti e conferme esplicite prima di operazioni sensibili. PromptArmor sta inoltre sviluppando sistemi di rilevamento automatico con risultati promettenti nei benchmark specifici.
La conclusione della ricerca è chiara: considerare affidabili i contenuti elaborati dagli agenti AI è un errore che può costare caro. Con la diffusione crescente degli strumenti autonomi nei processi aziendali, il confine tra documento e minaccia diventa sempre più sottile.
