Ein schwerwiegender Sicherheitsvorfall im Zusammenhang mit der offiziellen ChatGPT-Erweiterung für Google Sheets hat erhebliche Risiken für Unternehmensdaten aufgedeckt. Die von OpenAI veröffentlichte Erweiterung, die innerhalb weniger Monate bereits über 185.000 Mal heruntergeladen wurde, erlaubt es Nutzern, über einen Chatbot im Seitenbereich Daten aus Tabellenkalkulationen zu analysieren und zu manipulieren. Forscher von PromptArmor haben dabei eine indirekte Prompt-Injektions-Schwachstelle identifiziert, die es Angreifern ermöglicht, Daten ohne menschliche Bestätigung aus den Arbeitsmappen zu extrahieren, selbst wenn Nutzer die Option für eine manuelle Freigabe aktiviert haben. Der Angriffsvektor nutzt das Vertrauen des Systems in externe Datenquellen. Wird eine externe Tabelle importiert, die manipulierte Anweisungen enthält, kann ein harmloser Nutzerbefehl genügen, um die KI dazu zu bewegen, bösartige externe Skripte auszuführen. Diese Skripte laufen mit den Berechtigungen aus, die dem ChatGPT-Modul vom Benutzer erteilt wurden. Selbst wenn der Nutzer die automatische Bearbeitung deaktiviert hat, funktioniert der Angriff, da das System die Malware innerhalb des Kontextes des Skripts ausführt, nicht durch direkte Benutzerinteraktion mit dem Agenten. Sobald das Skript ausgeführt wird, extrahiert es sensible Daten, etwa interne Finanzmodelle. Besonders kritisch ist die automatische Ausweitung des Angriffs: Das bösartige Skript scannt die gestohlenen Daten nach Links zu weiteren Arbeitsmappen. Findet es diese, extrahiert es diese ebenfalls und wiederholt den Prozess. In einem demonstrierten Fall gelang es dem Angreifer, insgesamt zwölf verknüpfte Arbeitsmappen zu stehlen. Ein entscheidender Faktor ist dabei, dass das Drücken des Stop-Buttons in der ChatGPT-Seitenleiste die bereits gestarteten externen Skripte nicht abbricht. Zusätzlich zur Datenexfiltration ermöglicht der Angriffscode sogenannte Phishing-Overlay-Attacken. Dabei kann das Skript eine neue Seitenleiste öffnen, die eine gefälschte Version der ChatGPT-Oberfläche nachbildet und so den Anschein erweckt, normale Funktionen auszuführen, während im Hintergrund Daten abgegriffen werden. Alternativ kann ein Popup-Fenster angezeigt werden, das als Phishing-Seite fungiert, um Anmeldeinformationen zu stehlen. Die Entdecker, PromptArmor, gaben den Fehler im Mai 2026 vertraulich an OpenAI weiter. Trotz mehrfacher Nachfragen gab es von der Unternehmensseite lediglich eine automatische Bestätigungsemail. Die Dokumentation von OpenAI beschreibt in diesem Fall nicht die Risiken der Ausführung privilegierter Skripte oder der Manipulation durch indirekte Prompt-Injektionen, sondern konzentriert sich ausschließlich auf funktionale Einschränkungen. Aufgrund dieser fehlenden Kommunikation und Transparenz haben die Forscher ihre Ergebnisse nun öffentlich gemacht, um Organisationen über das tatsächliche Risikoprofil zu informieren. Für Administratoren ist es dringend empfohlen, den Zugang zur Erweiterung sofort zu überprüfen. Der Zugriff auf ChatGPT für Excel und Google Sheets lässt sich über die Workspace-Einstellungen unter Berechtigungen und Rollen sperren. Unternehmen sollten diese Funktion derzeit nur aktivieren, wenn das Risiko akzeptiert ist, und strenge Richtlinien für die Nutzung externer Datenquellen in Tabellenkalkulationen etablieren.