피드로 돌아가기
Dev.toSecurity
원문 읽기
400만 설치 AI 플러그인의 데이터 유출 및 아키텍처 결함 분석
ChatGPT for Sheets Has 4M Installations. It's Leaking Data to OpenAI.
AI 요약
Context
Google Sheets 내 GPT 연동을 위해 외부 API를 호출하는 Add-on 구조의 설계 결함 분석. 사용자 정의 범위 외의 워크북 데이터가 API 컨텍스트에 포함되어 OpenAI 서버로 전송되는 데이터 경계 제어 실패 사례임.
Technical Solution
- API Call 시 전송 데이터 범위를 제한하는 Data Filtering Layer의 부재 확인
- 사용자의 명시적 동의 없이 워크북 전체 데이터를 Context로 포함하는 Over-fetching 구조 설계
- 설정 패널 내 Checkbox에 의존한 데이터 공유 제어 방식의 낮은 가시성 및 실효성 부족
- Application-layer에서의 AI Security 검증 절차 생략으로 인한 데이터 유출 표면 확대
- Third-party server 전송 전 데이터 마스킹 및 검증 로직이 없는 단순 Forwarding 구조
실천 포인트
1. 외부 AI API 연동 시 전송 데이터의 Scope를 최소 단위로 제한하는 화이트리스트 기반 필터링 구현
2. Data Boundary 설정을 기본값(Default)으로 '비공유' 설정하는 Zero Trust 원칙 적용
3. API 요청 페이로드 내에 포함되는 컨텍스트 데이터의 정적/동적 분석 파이프라인 구축
4. Google Workspace 등 플랫폼 내 Third-party Add-on의 데이터 처리 정책 및 권한 범위 전수 조사