網絡安全研究揭發 Urban VPN 等熱門瀏覽器擴充功能涉嫌竊取逾 800 萬用戶的 AI 對話資料,受影響平台涵蓋 ChatGPT 及 Gemini 等。相關惡意程式透過注入腳本攔截 API 流量,將完整紀錄售予數據經紀商作營銷用途。由於私隱洩漏風險極高,科技達人強烈建議受影響用家應立即移除相關程式。
即刻【按此】,用 App 睇更多產品開箱影片
逾 800 萬用戶受害!熱門 VPN 擴充功能遭爆竊取 ChatGPT 與 Gemini 完整對話
隨著生成式 AI 成為大眾工作與生活的核心工具,隱私安全卻出現重大漏洞。資安研究人員近日發出警告,多款標榜「隱私保護」的瀏覽器擴充功能,正秘密攔截、收集並販售用戶在主流 AI 平台上的完整對話紀錄。受影響的平台範圍極廣,涵蓋 ChatGPT、Claude、Gemini、Microsoft Copilot、Perplexity、DeepSeek、Grok(xAI)及 Meta AI。
高評分背後的陷阱:知名擴充功能淪為竊資工具
調查顯示,本次事件的核心違規者為擁有超過 600 萬 Chrome 用戶的 Urban VPN Proxy。該擴充功能不僅獲得 Google 的「精選」標誌,更在 5.8 萬則評價中獲得 4.7 星高分,其看似可信的形象使用戶放鬆戒心。然而,研究證實該程式及其發行商旗下的 7 款相關擴充功能,均含有惡意程式碼。
受影響的擴充功能名單如下:
Chrome 網路商店:
Urban VPN Proxy(600 萬用戶)
1ClickVPN Proxy(60 萬用戶)
Urban Browser Guard(4 萬用戶)
Urban 廣告阻擋器(1 萬用戶)
Microsoft Edge 附加元件:
Urban VPN Proxy(132 萬用戶)
1ClickVPN Proxy(3.6 萬用戶)
Urban Browser Guard(1.2 萬用戶)
Urban 廣告阻擋器(6,400 用戶)
滲透機制:直接注入腳本攔截 API 流量
資安研究人員指出,這些惡意擴充功能透過將執行腳本注入 AI 平台的網頁,全面覆蓋瀏覽器的原生功能。此舉允許程式攔截用戶與 AI 之間的所有網路流量,進而解析 API 封包,精準擷取用戶輸入的指令、AI 的回應、時間戳記、對話 ID 以及會話中繼資料。所有被竊取的資料會被壓縮並傳送至 Urban VPN 的伺服器。
隱私數據遭販售,預設開啟防不勝防
據悉,Urban VPN 由 Urban Cyber Security Inc. 營運,該公司與資料經紀商 BiScience 有密切關聯。報告指出,這些被竊取的對話數據正被收集並出售,用於行銷分析。該資料收集功能自 2025 年 7 月 9 日發布的 5.5.0 版本起便已預設啟用;令人擔憂的是,即便用戶未開啟 VPN 連線,該程式仍會在背景持續執行監控。
呼籲:立即卸載以止損
電腦達人強烈建議,任何安裝上述擴充功能的用戶應立即將其卸載,並應預設在該日期之後的所有 AI 對話內容均已遭到入侵。此事件再度引發大眾對第三方瀏覽器擴充功能的質疑,他還提醒,除非有明確必要且確認來源安全,否則應避免安裝不必要的擴充套件,以保障個人資訊安全。
Source:koc
【相關報道】
【相關話題】聖誕IG新玩法 Gemini免費生成「進擊的巨人」景越大越震撼【附實測有片】
由 Travis Davids 牽頭的「巨人影片」熱潮席捲社交媒體。這股新趨勢利用生成式 AI 技術,將用家的個人相片與背景圖像結合,輕鬆製作出人物被「巨大化」並置身於現實場景的超現實特效短片。透過客製化提示詞(Prompt),創作者可精準控制影片中的震撼動作與視覺效果,引發網民熱烈討論與仿傚。
Source: ezone.hk