Extensiile de browser ad blocker și VPN, prezentate ca soluții de securitate, au fost investigate recent de Koi Security, care a descoperit că patru extensii populare colectează textele conversațiilor cu chatboți AI și le transmit dezvoltatorilor, afectând peste 8 milioane de instalări.
Cum funcționează interceptarea extensiilor
Mecanismul începe cu monitorizarea taburilor deschise pe platforme AI precum ChatGPT, Claude sau Gemini. Extensia de browser injectă un script „executor” în pagina vizată și suprascrie funcțiile fetch() și XMLHttpRequest. Astfel, toate cererile și răspunsurile către serviciul AI trec prin filtrul extensiei, permițând colectarea de date.
Pașii tehnici ai interceptării
- Scriptul de conținut interceptează traficul și extrage textul conversației.
- Datele sunt ambalate și trimise prin window.postMessage către service worker.
- Service worker le expediază către endpoint‑uri de tip analytics, fără opțiune de dezactivare pentru utilizator.
Extensiile implicate
- Urban VPN Proxy
- 1ClickVPN Proxy
- Urban Browser Guard
- Urban Ad Blocker
Aceste extensii ad blocker și VPN sunt distribuite prin magazine oficiale și afișează badge „Featured”, sugerând o evaluare umană pozitivă.
Platforme AI vizate
ChatGPT, Claude, Gemini, Microsoft Copilot, Perplexity, DeepSeek, Grok, Meta AI.
Acoperirea este largă, includând atât modele de la mari furnizori, cât și servicii emergente.
Implicări de securitate și confidențialitate
Colectarea de date din conversațiile AI depășește supravegherea obișnuită a site‑urilor și atinge conținutul considerat intim. În documentația extensiilor, mențiunile despre monitorizare sunt prezentate ca „protecție”, dar cercetătorii indică utilizarea ulterioară în scopuri de marketing.
Actualizări și consimțământ
Un prompt de consimțământ a fost introdus printr-un update, accesibil doar utilizatorilor noi. Cei care aveau extensia instalată anterior nu au fost informați, ceea ce ridică întrebări privind transparența actualizărilor de securitate.
Politica magazinelor de extensii
Regulile interzic transferul neautorizat de date către terți, dar zona „Limited Use” poate fi exploatată pentru a justifica colectarea în numele unui „scop unic”. Acestă ambiguitate permite extensiilor ad blocker și VPN să păstreze o acoperire formală, în ciuda practicii invazive.
Recomandări pentru utilizatori
- Verificați permisiunile solicitate de orice extensie de browser.
- Monitorizați actualizările și prompturile de consimțământ.
- Preferați extensii cu recenzii independente și audituri de securitate.
Păstrarea informării continue și urmărirea evoluțiilor în privința extensiilor de browser rămâne esențială pentru protecția datelor și a confidențialității în interacțiunile cu AI.
