8M Users' AI Conversations Sold for Profit by "Privacy" Extensions
5 months ago
- #security
- #privacy
- #data-breach
- 拥有超过600万用户的Chrome扩展程序Urban VPN Proxy被曝在未经用户同意的情况下,窃取ChatGPT、Claude和Gemini等AI平台的对话内容。
- 该扩展程序通过向AI平台注入脚本,覆盖浏览器功能来拦截原始API流量,从而获取对话内容。
- 收集的数据包括每条指令、回复、会话ID、时间戳和会话元数据,这些信息随后被传输至Urban VPN的服务器。
- 此窃取功能始于5.5.0版本(2025年7月9日更新),影响此前安装该扩展的所有用户。
- Urban VPN的隐私政策披露其与数据经纪商BiScience共享数据,这与其在Chrome应用商店声称不出售数据给第三方的描述相矛盾。
- 同一开发者的其他7款扩展程序也存在相同窃取代码,导致Chrome和Edge平台超800万用户受影响。
- 尽管该扩展违反Chrome应用商店禁止向数据经纪商出售用户数据的政策,Google仍为其授予'精选'徽章变相背书。
- 建议用户立即卸载相关扩展程序,并默认2025年7月以来的所有AI对话内容均已泄露。