一款曾被 Chrome 線上應用商店列為精選擴充功能的免費 VPN 插件『Urban VPN Proxy』,近日被發現升級後竟然開始偷偷蒐集用戶與多款著名 AI 聊天機械人之間的交談內容,超過 800 萬用戶的資料可能已被轉給數據經紀圖利。有關的 VPN 插件雖然現已在 Chrome 線上應用商店和 Firefox Add-on 被移除,但仍可以在 Microsoft Edge 外掛程式找到,已安裝的擴充功能亦不會自動刪除。有使用該款插件的用戶應考慮移除有關插件。
針對 AI 聊天機械人 800 萬用戶中招
總部在以色列的 Koi Security 使用該公司開發的代理式 AI 風險引擎『Wings』,掃描具有讀取與外傳 AI 聊天內容能力的擴充功能時,意外發現使用人數超過 600 萬、由 Google 標示為「精選」的 Urban VPN Proxy,程式碼中新增了專門攔截 AI 對話的模組。後續分析顯示,該插件會針對 ChatGPT、Claude、Gemini、Microsoft Copilot、Perplexity、DeepSeek、Grok、Meta AI 等多個著名 AI 平台攔截所有請求與回應,記錄每一則提問與回答、時間戳記、對話 ID、使用的平台與模型等資訊。
現時已發現同一發行商推出的其他七款擴充功能插件,都含有相同的 AI 對話蒐集機制,涵蓋 Chrome 和 Edge 瀏覽器。這些插件用戶數量合共超過 800 萬,包括:
Chrome 線上應用商店:
- Urban VPN Proxy – 600 萬用戶
- 1ClickVPN Proxy – 60 萬用戶
- Urban Browser Guard – 4 萬用戶
- Urban Ad Blocker – 1 萬用戶
Microsoft Edge 外掛程式:
- Urban VPN Proxy – 1,323,622 用戶
- 1ClickVPN Proxy – 36,459 用戶
- Urban Browser Guard – 12,624 用戶
- Urban Ad Blocker – 6,476 用戶
據分析,Urban VPN 系列插件會監控開啟的分頁,一旦偵測到 AI 聊天網站,便將對應的「executor」腳本注入頁面,例如 chatgpt.js、claude.js、gemini.js 等,藉此取得在該頁中執行的網路請求控制權。這些腳本會覆寫瀏覽器原生的 fetch() 與 XMLHttpRequest,讓所有 API 請求與回應先經過插件程式處理才交還給頁面。內容經過分析、打包和壓縮後,被發送到 analytics.urban-vpn.com、stats.urban-vpn.com 等伺服器。
引君入甕.升級插入惡魔功能
其實『Urban VPN Proxy』最初的確提供實用功能,所以吸引到大量用戶使用。不過今年 7 月 9 日發行商釋出版本 5.5.0 開始,插件就加入了 AI 對話蒐集功能並預設啟用,由於 Chrome 與 Edge 預設自動更新,舊用戶在不知情的情況下就開始被持續蒐集對話內容並轉交第三方作為「行銷分析」用途。
最惡毒的是當用戶在 AI 聊天機械人輸入個人資料時,插件會彈出警告提醒用戶小心,誰知原來插件本身就在做著同樣的事情。有關的提示檢查與連結警告功能與資料蒐集邏輯相互獨立,即使關閉警示功能,對話內容仍會持續被擷取與外傳。
背後公司其實是數據經紀
報告指出,經營 Urban VPN 的 Urban Cyber Security Inc. 與數據經紀公司 BiScience(B.I Science (2009) Ltd.)關聯;過往資安研究者就曾揭露 BiScience 透過瀏覽器擴充功能蒐集大規模點擊流與瀏覽歷史,並藉由持久裝置識別碼達到再識別,然後透過 AdClarity、Clickstream OS 等產品向企業販售這些資料。
現時涉事的擴充功能插件已在 Chrome 線上應用商店和 Firefox Add-on 下架,但仍可以在 Microsoft Edge 外掛程式找到。報告建議安裝了相關 Urban 或 1ClickVPN、Browser Guard、Ad Blocker 等擴充功能,應立即移除,並假設自 2025 年 7 月以來在各大 AI 平台上的對話內容已被收集並分享給第三方,同時也倡議企業採用行為分析型工具來偵測這類能繞過傳統審查的惡意或灰色擴充功能。
(資料來源:Koi Security)
