一款获得 Google Chrome "精选"徽章、拥有六百万用户的扩展程序被发现正在静默收集用户向各类 AI 聊天机器人输入的所有提示词,包括 OpenAI ChatGPT、Anthropic Claude、Microsoft Copilot、DeepSeek、Google Gemini、xAI Grok、Meta AI 和 Perplexity。
涉事扩展在 Chrome 应用商店评分为 4.7 分,宣传为"最佳安全免费,可访问任何网站并解除内容封锁"。其开发商是位于特拉华州的 Urban Cyber Security Inc. 公司,该扩展在 Microsoft Edge 插件市场也有 130 万安装量。
尽管该扩展声称能让用户"保护在线身份、保持安全并隐藏 IP",但其在 2025 年 7 月 9 日更新的 5.5.0 版本中,默认启用了通过硬编码设置实现的 AI 数据收集功能。
数据窃取技术原理
该扩展通过为每个目标 AI 聊天平台(如 chatgpt.js、claude.js、gemini.js)定制执行 JavaScript 脚本,当安装该扩展的用户访问这些平台时,脚本就会被触发以拦截和收集对话内容。
脚本注入后会重写浏览器处理网络请求的 API(fetch() 和 XMLHttpRequest()),确保所有请求首先经过扩展代码,从而捕获包括用户提示词和聊天机器人响应在内的对话数据,并将其外泄至两个远程服务器。
扩展收集的具体数据类型包括:
- 用户输入的提示词
- 聊天机器人响应内容
- 会话标识符和时间戳
- 会话元数据
- 使用的 AI 平台和模型
隐私政策争议
Koi Security 的 Idan Dardikman 在今日发布的报告中指出:"Chrome 和 Edge 扩展默认会自动更新。用户安装该扩展本是为了其宣称的功能,却在某天醒来后发现新增的代码正在静默收集他们的 AI 对话记录。"
值得注意的是,Urban VPN 在 2025 年 6 月 25 日更新的隐私政策中提到,收集这些数据是为了增强安全浏览功能和营销分析用途,且任何对收集的 AI 提示词的二次使用都将基于去标识化和匿名化数据。
数据共享与关联公司
该 VPN 软件开发商承认,其将"网页浏览数据"共享给了一家名为 BIScience 的关联广告情报和品牌监测公司。该公司使用原始(非匿名化)数据生成"商业用途并与商业伙伴共享"的分析报告。
值得注意的是,BIScience 公司(恰好也是 Urban Cyber Security Inc. 的母公司)在今年 1 月曾被匿名研究人员曝光,指其在具有误导性的隐私政策披露下收集用户的浏览历史(或称点击流数据)。
据称该公司向合作的第三方扩展开发者提供软件开发工具包(SDK),用于收集用户的点击流数据,这些数据被传输至其控制的 sclpfybn[.]com等终端节点。
虚假的"AI 保护"功能
在扩展列表页面,Urban VPN 还突出宣传了一项"AI 保护"功能,称其会检查提示词中的个人数据、聊天机器人响应中的可疑或不安全链接,并在用户提交提示词或点击链接前显示警告。
虽然这一监控功能被包装为防止用户意外共享个人信息,但开发者未提及的是,无论该功能是否启用,数据收集都会进行。
Dardikman 指出:"保护功能偶尔会显示关于向 AI 公司共享敏感数据的警告,而收集功能却将这些敏感数据——以及其他所有内容——发送到 Urban VPN 自己的服务器,再出售给广告商。扩展会警告你不要向 ChatGPT 分享邮箱,却同时将整个对话内容外泄给数据中介。"
同源扩展生态
Koi Security 表示,他们在 Chrome 和 Microsoft Edge 上观察到同一发布者的另外三款扩展具有相同的 AI 数据收集功能,使其总安装量超过八百万:
- 1ClickVPN Proxy
- Urban Browser Guard
- Urban Ad Blocker
除 Edge 版的 Urban Ad Blocker 外,所有这些扩展都带有"精选"徽章,给用户造成它们遵循平台"最佳实践并满足高标准用户体验和设计"的印象。
Dardikman 强调:"这些徽章向用户传递扩展已通过审核、符合平台质量标准的信息。对许多用户来说,精选徽章是决定是否安装扩展的关键因素——它代表着 Google 和 Microsoft 的默示认可。"
这些发现再次证明,扩展市场的信任机制可能被滥用以大规模收集敏感数据,尤其是在用户越来越多地向 AI 聊天机器人分享高度个人信息、寻求建议和讨论情感问题的当下。
)
