這下真的麻煩了!安全研究人員近期揭發了一起大規模的隱私洩漏事件 。一批在 Microsoft Edge 及 Chromium 系瀏覽器(如 Chrome)上架、掛著「隱私保護」招牌的瀏覽器擴充功能,被發現會在後台偷偷竊取並販售使用者在各大 AI 平台上的完整對話內容,受影響的人數突破 800 萬大關 。
根據調查,這次受影響的 AI 平台範圍極廣,幾乎涵蓋了市面上所有主流工具,包括 ChatGPT、Claude、Gemini、Microsoft Copilot、Perplexity、DeepSeek、Grok (xAI)、Meta AI 等至少十個平台 。只要安裝了這些惡意擴充功能,使用者與 AI 之間的所有互動數據都會被攔截 。
獲得 Google「精選」標章也沒用?這些熱門擴充功能千萬別碰
這次事件中最令人意外的,是擁有超過 600 萬名使用者、甚至獲得 Google 官方「精選(Featured)」標章的 Urban VPN Proxy 。這款擴充功能在 Chrome 線上應用程式商店擁有 4.7 顆星的高分,從表面上看來極具可信度,但實際行為卻完全相反 。
研究顯示,除了 Urban VPN 之外,同一開發商(Urban Cyber Security Inc.)旗下的多款產品也包含相同的惡意程式碼,包括:
-
1ClickVPN Proxy
-
Urban Browser Guard
-
Urban Ad Blocker
竊取手段曝光:注入執行腳本,預設自動開啟
這些惡意擴充功能的運作方式非常陰險。它們會向受攻擊的 AI 網頁注入一個「執行腳本(executor script)」,重寫瀏覽器內建函數,藉此攔截使用者與 AI 平台之間的網路通訊 。一旦截獲資料,腳本會解析對話內容,提取每一則提問與回覆,並記錄時間戳記、對話 ID 等關鍵元數據,最後壓縮傳送到 Urban VPN 的伺服器集中處理 。
最可怕的是,這種資料收集行為是「預設開啟」且「後台執行」的 。不論使用者是否啟動 VPN 功能,或是調整任何介面設定都無法停止,唯一能阻止它的方法就是「徹底解除安裝」 。研究指出,這項惡意功能至少從 2025 年 7 月 9 日發布的 5.5.0 版本起就已經存在 。
背後動機:與數據仲介商關聯,售予下游行銷客戶
報導提到,經營 Urban VPN 的公司與數據仲介商 BiScience 有關聯 。目前跡象顯示,這些被竊取的對話數據被收集後,會出售給下游客戶用於市場行銷分析等用途 。
安全研究人員強烈建議所有安裝了相關擴充功能的使用者立即移除,並預設自己在這些 AI 平台上的對話紀錄已經外洩 。這次事件也再次提醒我們,即便是官方商店推薦的擴充功能也不一定絕對安全,沒事最好少裝不必要的瀏覽器外掛,以降低隱私風險 。
- 延伸閱讀:Microsoft Edge 134 版釋出:效能大幅提升,瀏覽速度最高快 9%
- 延伸閱讀:更新後的Microsoft Edge會嘗試從Chrome「偷」資料自動打開網頁
- 延伸閱讀:Microsoft Edge Canary 也將內建本機AI模型,可以供開發者離線測試處理AI資料
