解决方案包括行业、[合作伙伴](../partner-program)、资源、[预约演示](../enterprise-demo)。威胁情报涵盖[Ramp的Sheets AI泄露财务数据](./ramps-sheets-ai-exfiltrates-financials)、[Snowflake Cortex AI突破沙盒并执行恶意软件](./snowflake-ai-escapes-sandbox-and-executes-malware)等多项内容。威胁情报目录 - Ramp的Sheets AI泄露财务数据Ramp的Sheets AI存在漏洞允许代理在未经用户批准的情况下插入可发起外部网络请求的公式产生通过间接提示注入进行数据泄露的风险。PromptArmor已将此漏洞负责任地披露给RampRamp的安全团队表示该问题已于2026年3月16日解决。背景方面Ramp的Sheets AI是一款智能产品可帮助用户操作电子表格类似于Excel版的Claude。该功能可在无需人工干预的情况下编辑电子表格但因能插入触发外部通信的公式存在数据泄露风险。Ramp的安全团队在收到报告后解决了问题我们赞赏其致力于维护强大的AI安全态势并及时解决漏洞有关负责任披露的更多细节将在文章末尾介绍。本文将展示隐藏在不可信外部数据源中的[间接提示注入](https://www.promptarmor.com/resources/indirect-prompt-injection)如何通过操纵Ramp的AI插入恶意公式导致用户工作空间中的机密财务数据泄露且无需用户批准。PromptArmor曾在Excel版的Claude中[发现](cellshock-claude-ai-is-excel-lent-at-stealing-data)过类似风险文章底部将介绍Anthropic采取的补救措施。攻击链如下1. 用户打开包含机密财务模型的工作簿2. 用户导入外部数据集以完善模型该参考数据集来自不可信的外部来源3. 参考数据集中包含隐藏的提示注入其目的是操纵Ramp的AI收集敏感数据、生成包含该数据的公式并自动插入用户的电子表格中4. 用户要求Ramp AI将其财务模型与行业统计数据进行比较5. Ramp AI陷入提示注入陷阱并插入恶意公式6. 恶意公式发起网络请求泄露财务数据。负责任的披露PromptArmor威胁情报团队已将此漏洞负责任地披露给RampRamp的安全团队表示该问题已于2026年3月16日解决。时间线如下2026年2月19日PromptArmor通过[securityramp.com](mailto:securityramp.com)进行披露2026年2月27日PromptArmor跟进2026年3月13日PromptArmor跟进2026年3月14日Ramp确认收到报告并指出初始报告是在披露计划过渡期间提交的解释了初始响应延迟的原因2026年3月16日Ramp表示问题已于当天中午东部时间左右解决。Excel版Claude的补救措施Excel版Claude发布时PromptArmor[发现](cellshock-claude-ai-is-excel-lent-at-stealing-data)了几乎相同的风险。Anthropic更新了Excel版Claude当插入可能导致外部网络流量的公式时会显示一个红色警告弹窗新的警告会显示正在插入的完整公式并且[文档](https://support.claude.com/en/articles/12650343-use-claude-for-excel)也进行了更新以更好地向用户说明风险。本页标签