一款带有“精选”徽章、拥有 600 万用户的 Google Chrome 扩展程序观察到的默默地收集用户输入到人工智能 (AI) 支持的聊天机器人中的每个提示,例如 OpenAI ChatGPT、Anthropic Claude、Microsoft Copilot、DeepSeek、Google Gemini、xAI Grok、Meta AI 和 Perplexity。
有问题的扩展名是城市 VPN 代理,其在 Google Chrome 网上应用店的评分为 4.7。它被宣传为“访问任何网站并解锁内容的最安全的免费 VPN”。它的开发商是一家位于特拉华州的公司,名为城市网络安全公司。在 Microsoft Edge 附加组件市场上,它有130 万次安装。尽管声称它允许用户“保护您的在线身份、保持受保护并隐藏您的 IP”,但更新已于 2025 年 7 月 9 日向用户推送,当时版本 5.5.0 发布,默认情况下使用硬编码设置启用 AI 数据收集。
具体来说,这是通过为每个 AI 聊天机器人(即 chatgpt.js、claude.js、gemini.js)触发的定制执行器 JavaScript 来实现的,以便在安装了扩展程序的用户每次访问任何目标平台时拦截和收集对话。
注入脚本后,它会覆盖用于处理网络请求的浏览器 API(fetch() 和 XMLHttpRequest()),以确保每个请求都首先通过扩展程序的代码进行路由,以便捕获对话数据,包括用户的提示和聊天机器人的响应,并将其渗透到两个远程服务器(“analytics.urban-vpn[.]com”和“analytics.urban-vpn[.]com”)
“stats.urban-vpn[.]com”)。
扩展程序捕获的数据的确切列表如下 -
- 用户输入的提示
- 聊天机器人回应
- 会话标识符和时间戳
- 会话元数据
- 使用的AI平台和模型
Koi Security 的 Idan Dardikman 在今天发布的一份报告中表示:“Chrome 和 Edge 扩展默认情况下会自动更新。”“出于其既定目的(VPN 功能)而安装 Urban VPN 的用户有一天醒来,发现新代码正在悄悄地收集他们的 AI 对话。”
值得一提的是,截至 2025 年 6 月 25 日,Urban VPN 更新的隐私政策提到,它收集这些数据是为了增强安全浏览和营销分析目的,而收集到的 AI 提示的任何其他二次使用都将针对去识别化和匿名化的数据进行——
作为浏览数据的一部分,我们将收集最终用户要求的提示和输出[原文如此]或由人工智能聊天提供商生成的提示和输出(如果适用)。也就是说,我们只对 AI 提示以及您与聊天 AI 交互的结果感兴趣。
由于人工智能提示所涉及数据的性质,一些敏感的个人信息可能会被处理。然而,此处理的目的不是收集个人或可识别数据,我们不能完全保证删除所有敏感或个人信息,我们会采取措施过滤或消除您可能通过提示提交的任何标识符或个人数据,并对数据进行去识别化和聚合。
它与之共享“网络浏览数据”的第三方之一是一家附属广告情报和品牌监控公司,名为BIS科学。该 VPN 软件制造商指出,该公司使用原始(非匿名)数据来创建“用于商业用途并与业务合作伙伴共享”的见解。
值得注意的是,BiScience 也恰好拥有 Urban Cyber Security Inc.叫出今年一月初,一位匿名研究人员根据误导性的隐私政策披露收集了用户的浏览历史记录或所谓的点击流数据。
据称,该公司向第三方扩展开发商合作提供软件开发工具包(SDK),以收集用户的点击流数据,传送的到sclpfybn[.]com域和其控制下的其他端点。
“BIScience 和合作伙伴利用了 Chrome Web Store 政策中的漏洞,主要是限制使用政策,这是‘批准的用例’”,研究人员指出,并补充说,他们“开发了面向用户的功能,据称需要访问浏览历史记录,以声明‘提供或改进单一目的所必需的’例外。”
在扩展程序列表页面上,Urban VPN 还强调了“AI 保护”功能,该功能会检查个人数据提示、聊天机器人对可疑或不安全链接的响应,并在用户提交提示或点击提示之前显示警告。
虽然这种监控的目的是防止用户意外共享任何个人信息,但开发人员没有提到的是,无论是否启用该功能,数据收集都会发生。
“保护功能偶尔会显示有关与人工智能公司共享敏感数据的警告,”达迪克曼说。“收集功能将精确的敏感数据以及其他所有数据发送到 Urban VPN 自己的服务器,然后将其出售给广告商。该扩展程序会警告您不要与 ChatGPT 共享您的电子邮件,同时将您的整个对话泄露给数据代理。”
Koi Security 表示,它在 Chrome 和 Microsoft Edge 上同一发布商的其他三个独特扩展中观察到相同的 AI 收集功能,使其总安装基数超过 800 万 -
- 1ClickVPN 代理
- 城市浏览器卫士
- 城市广告拦截器
除 Edge 版 Urban Ad Blocker 外,所有这些扩展程序都带有“精选”徽章,为用户提供了印象他们遵循该平台的“最佳实践并满足高标准的用户体验和设计”。
达迪克曼指出:“这些徽章向用户表明这些扩展程序已经过审核并符合平台质量标准。”“对于许多用户来说,特色徽章是安装扩展和传递扩展之间的区别 - 这是 Google 和 Microsoft 的隐含认可。”
研究结果再次证明了与扩展市场相关的信任如何被滥用来大规模收集敏感数据,尤其是在这样的情况下:用户是越来越多地分享深度个人信息、寻求建议并与他人讨论情绪人工智能聊天机器人。
《黑客新闻》已联系谷歌和微软征求意见,如果收到回复,我们将更新报道。