近日,网络安全公司Koi Security披露,一款在谷歌Chrome和微软Edge商店中拥有“精选”认证标识、用户量巨大的浏览器扩展,被暗中用于大规模窃取用户与人工智能聊天机器人的全部对话内容。该事件再次对浏览器扩展商店的审核机制与用户信任敲响了警钟。
“精选”扩展的隐秘行径
涉事扩展名为“Urban VPN代理”,在Chrome商店拥有600万用户和4.7的高评分,在Edge商店也有130万安装量。其开发商为美国特拉华州的Urban Cyber Security Inc.。该扩展声称能保护用户在线隐私、隐藏IP地址。然而,在2025年7月9日发布的5.5.0版本更新中,开发者通过硬编码设置,默认启用了针对AI聊天的数据窃取功能。
技术手段:全面拦截对话
该扩展通过为每个目标AI平台(如OpenAI ChatGPT、Anthropic Claude、谷歌Gemini、微软Copilot、DeepSeek、xAI Grok、Meta AI、Perplexity等)定制专用的执行脚本(如chatgpt.js, claude.js),在用户访问这些网站时自动注入。脚本会覆写浏览器的`fetch()`和`XMLHttpRequest()`等网络请求API,确保所有请求数据先经过扩展代码的处理,从而捕获完整的对话内容。
窃取数据范围广泛
被截取并外传到远程服务器(analytics.urban-vpn[.]com和stats.urban-vpn[.]com)的数据包括:
用户输入的所有提示词(Prompts)
聊天机器人的全部回复
对话标识符、时间戳
会话元数据
所使用的AI平台和模型信息
Koi Security的研究人员伊丹·达迪克曼指出:“Chrome和Edge扩展默认自动更新。那些为了VPN功能而安装Urban VPN的用户,一觉醒来就发现自己被植入了窃取AI对话的新代码。”
隐私政策被指“欲盖弥彰”
尽管Urban VPN在2025年6月25日更新的隐私政策中承认会收集AI提示词和输出结果,并声称目的是“增强安全浏览”和“营销分析”,且承诺会对数据进行去标识化和匿名化处理,但实际情况与之矛盾。
报告揭露,这些“网络浏览数据”被共享给一家关联的广告情报与品牌监测公司BIScience。而该公司正是Urban Cyber Security Inc.的母公司。VPN开发商承认,BIScience会使用原始(未匿名化)数据来生成商业洞察,并与“商业伙伴”共享。
“保护”功能实为“监控”幌子
颇具讽刺意味的是,该扩展在商店页面还宣传一项“AI保护”功能,称其可检查提示词中的个人数据、回复中的可疑链接并向用户示警。然而,开发者未提及的是,无论用户是否启用此“保护”功能,数据收集都会在后台默认为执行。达迪克曼批评道:“这个扩展警告你不要把敏感数据给AI公司,却同时将你那完全相同的敏感数据——以及所有其他内容——发送到自己的服务器,并出售给广告商。”
滥用“精选”标签,信任遭背叛
调查还发现,同一发行商旗下另外三款扩展(1ClickVPN Proxy、Urban Browser Guard、Urban Ad Blocker)也具备完全相同的AI数据窃取功能,使受影响用户总数超过800万。除了Edge版的Urban Ad Blocker,其余扩展均带有“精选”徽章。该徽章本意是向用户表明扩展遵循平台“最佳实践”,具备高质量用户体验和设计标准。
达迪克曼强调:“这些徽章向用户传递了扩展已通过审核、符合平台质量标准的信号。对许多用户而言,‘精选’徽章是他们决定安装还是略过一个扩展的关键区别——这是谷歌和微软的隐性背书。”
此次事件清晰地表明,与扩展市场相关的信任可能被滥用,从而大规模收集敏感数据。广大用户需提高警惕,审慎评估浏览器扩展的权限请求,并定期审查已安装的扩展。
资讯来源:thehackernews
声明:本文来自看雪学苑,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
