浏览器“隐私”扩展被曝窃取AI对话数据
据Koi Security的研究报告,四款声称保护隐私的流行浏览器扩展程序实则背道而驰。这些恶意插件一直在窃取超过800万用户的聊天机器人对话文本,并将其发送回开发者。
这四款看似有用的扩展程序是Urban VPN Proxy、1ClickVPN Proxy、Urban Browser Guard和Urban Ad Blocker。它们通过某中心的Web应用商店和某机构的Edge扩展商店分发,但内含专门设计用于捕获和传输用户与流行AI工具在浏览器中交互内容的代码。
Koi的联合创始人兼首席技术官伊丹·达迪克曼在一篇博客文章中表示:“Urban VPN Proxy针对十个AI平台的对话进行监控。”
技术原理
该研究公司指出,被监控的AI平台包括ChatGPT、Claude、Gemini、某机构Copilot、Perplexity、DeepSeek、Grok和某中心AI等。
“针对每个平台,该扩展都包含一个专门的‘执行器’脚本,旨在拦截和捕获对话。”达迪克曼解释道,数据收集功能通过硬编码的配置标志默认启用。“没有面向用户的开关可以禁用此功能。停止数据收集的唯一方法是彻底卸载该扩展。”
据达迪克曼称,Urban VPN Proxy扩展会监控用户的浏览器标签页。当用户访问其中一个被监控的平台(例如 chatgpt.com)时,它会将“执行器”脚本注入该页面。
“一旦注入,脚本会重写fetch()和XMLHttpRequest—— 这是处理所有网络请求的基本浏览器API。”他解释道,“这是一种激进的技术。脚本包装了原始函数,使得该页面上的每个网络请求和响应都首先经过扩展的代码。”
数据外传路径
脚本解析被拦截的API响应,然后通过window.postMessage将数据打包并传输给扩展的内容脚本,同时附带标识符PANELOS_MESSAGE。接着,内容脚本将数据传递给一个后台服务工作线程,通过网络将数据外传至analytics.urban-vpn.com和stats.urban-vpn.com这两个端点。
问题根源与责任
达迪克曼援引了安全研究员弗拉基米尔·帕兰特和Secure Annex的约翰·塔克纳先前发布的调查材料,该材料详细说明了BiScience公司收集点击流/浏览历史数据的行为。他表示,其公司的研究结果表明BiScience正在扩展到收集AI对话。
他指出,尽管Urban VPN在设置提示和其隐私政策中披露了AI数据收集行为,但在某中心的Web应用商店列表中却表示数据不会在批准的用例之外出售给第三方,并且没有具体提及AI对话。
“同意提示将AI监控描述为保护性措施。”他说,“隐私政策则揭示数据会被出售用于营销。”他补充道,在2025年7月之前安装Urban VPN的用户从未看到过同意提示,该提示是通过5.5.0版本的静默更新添加的。
他还认为,该软件没有提供任何指示,表明即使在VPN未激活时,数据收集也仍在进行。
达迪克曼指出,Urban VPN曾获得某中心Web应用商店团队颁发的“精选”徽章。“这意味着某中心的员工审核了Urban VPN Proxy,并得出结论认为它符合他们的标准。”他说,“要么是审核没有检查从某中心自家AI产品(Gemini)窃取对话的代码,要么是检查了但不认为这是个问题。”
他观察到,某中心Web应用商店的政策明确禁止将用户数据传输或出售给像BiScience这样的第三方数据代理。
政策漏洞
该问题似乎是某中心Web应用商店“有限使用”政策中的一个漏洞。该政策允许在有限场景(例如安全或业务所有权变更)下将数据传输给第三方,但这些场景不包括将数据传输给数据代理。
帕兰特在他的文章中暗示,BiScience及其关联合作伙伴实施了据称需要访问浏览历史记录的用户功能,以主张“提供或改进你的单一目的所必需”的例外情况,从而允许向第三方有限传输数据。或者,他们通过实施安全浏览或广告拦截功能来主张安全例外。
“某中心Web应用商店似乎将其政策解释为:如果扩展通过其隐私政策或其他用户披露声称‘有限使用’例外,则允许传输用户数据。”帕兰特写道,“不幸的是,不良行为者虚假地声称这些例外,以便将用户数据出售给第三方。”
“如果你安装了这些扩展中的任何一个,请立即卸载它们。”达迪克曼总结道,“请假设自2025年7月以来你进行的所有AI对话都已被捕获并分享给了第三方。”
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)或者 我的个人博客 https://blog.qife122.com/
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
