網絡安全研究揭發 Urban VPN 等熱門瀏覽器擴充功能涉嫌竊取逾 800 萬用戶的 AI 對話資料,受影響平台涵蓋 ChatGPT 及 Gemini 等。相關惡意程式透過注入腳本攔截 API 流量,將完整紀錄售予數據經紀商作營銷用途。由於私隱洩漏風險極高,科技達人強烈建議受影響用家應立即移除相關程式。即睇 ezone編輯部教你如何檢查Chrome 擴充功能安全,並一鍵徹底卸載自保,別讓私密對話在背景被偷偷打包賣掉!
即刻【按此】,用 App 睇更多產品開箱影片
AI 隱私漏洞 逾 800 萬用戶受害!熱門 VPN 擴充功能遭爆竊取 ChatGPT 與 Gemini 完整對話
平時上網用開邊款瀏覽器擴充功能?小心貪方便落入黑客圈套!近日資安機構爆出驚天VPN 竊資災情,全球逾 800 萬用戶中伏。包括大熱的 Urban VPN Proxy 等多款標榜隱私保護的工具,竟被揭發透過惡意腳本全面攔截並導致AI 對話紀錄外洩販售牟利!到底你的ChatGPT 隱私安全與公司商業機密有沒有防線?
隨著生成式 AI 成為大眾工作與生活的核心工具,隱私安全卻出現重大漏洞。資安研究人員近日發出警告,多款標榜「隱私保護」的瀏覽器擴充功能,正秘密攔截、收集並販售用戶在主流 AI 平台上的完整對話紀錄。受影響的平台範圍極廣,涵蓋 ChatGPT、Claude、Gemini、Microsoft Copilot、Perplexity、DeepSeek、Grok(xAI)及 Meta AI。
高評分背後的致命陷阱:知名「精選」擴充功能淪為竊資工具?
調查顯示,本次事件的核心違規者為在 Chrome 網上商店擁有超過 600 萬用戶的 Urban VPN Proxy。該擴充功能不僅曾獲得 Google 官方的「精選」標誌,更在 5.8 萬則評價中獲得 4.7 星的高分,極具欺騙性的可信形象令無數用戶放鬆戒心。
資安團隊證實,該程式及其發行商(Urban Cyber Security Inc.)旗下的多款相關擴充功能均含有惡意程式碼。以下為完整受災流氓名單,請立刻對照手機或電腦的瀏覽器:
受影響的擴充功能名單如下:
Chrome 網路商店:
Urban VPN Proxy(600 萬用戶)
1ClickVPN Proxy(60 萬用戶)
Urban Browser Guard(4 萬用戶)
Urban 廣告阻擋器(1 萬用戶)
Microsoft Edge 附加元件:
Urban VPN Proxy(132 萬用戶)
1ClickVPN Proxy(3.6 萬用戶)
Urban Browser Guard(1.2 萬用戶)
Urban 廣告阻擋器(6,400 用戶)
網絡流量全攔截!拆解AI 數據外洩黑箱機制
這類惡意擴充功能的滲透機制極其陰險,它們並非單純竊取網頁瀏覽紀錄,而是直接鎖定大熱的 AI 平台。其底層運作原理如下:
腳本注入網頁: 當用戶訪問指定的 AI 網站時,擴充功能會自動偵測,並在背景向網頁注入平台專屬的執行腳本(例如:
chatgpt.js、gemini.js、claude.js等)。全面覆蓋網絡 API: 這些腳本會強行覆蓋瀏覽器原生的網路通訊功能(如
fetch和XMLHttpRequest接口)。精準擷取打包: 在瀏覽器將畫面渲染出來之前,程式就已經成功攔截並解析了 API 封包,將你輸入的 Prompt(指令)、AI 產出的 Response(回應)、時間戳記、對話 ID 以及會話中繼資料全部精準擷取。
預設開啟防不勝防: 被竊取的資料隨後會被壓縮並傳送至 Urban VPN 的伺服器,出售給與其有密切關聯的資料經紀商(Data Broker)BiScience 用於行銷分析。最令人擔憂的是,即便用戶當時未開啟 VPN 連線,該功能仍會在背景持續執行監控。
受影響的各大主流 AI 平台一覽
只要安裝了上述擴充功能,你在以下平台的所有私密對話均有可能已無聲外洩:
| 分類 | 受影響熱門 AI 平台名單 | 洩漏數據內容 |
| 主流對話 AI | ChatGPT、Google Gemini、Claude、Grok (xAI) | 用戶輸入的指令、AI 回應明文、對話 ID |
| 搜尋與工作助手 | Perplexity、Microsoft Copilot、DeepSeek、Meta AI | 會話中繼資料、精確時間戳記 |
EZONE 編輯部點評
俗語話「免費嘅往往最貴」。很多網上教學只會叫你「去設定熄功能」,但從今次 Urban VPN Proxy 竊密事件可見,這類功能早在 2025 年 7 月發布的 5.5.0 版本起就已經預設啟用,且根本沒有在介面提供任何可供關閉的開關(Toggle)!你以為自己開啟了隱私防護,底層卻是在裸奔。
自保小貼士:
唯一止損方法是「全面卸載」: 電腦達人強烈建議,凡是安裝了上述名單內工具的用戶,必須預設自己在該日期之後的所有 AI 對話內容均已遭到入侵。唯一能阻止其運作的方法,是直接在 Chrome/Edge 中右鍵將其「徹底移出瀏覽器」,單純 Disconnect VPN 是完全無效的!
善用瀏覽器內置「網站存取權限」進行防禦: 為了保障【Chrome 擴充功能安全】,我們在下載任何擴充套件後,應手動點擊瀏覽器右上角的「拼圖」圖示進入擴充功能管理,在「網站存取權限(Site Access)」中,將設定由預設的「允許在所有網站上讀取和變更資料」,手動修改為「在特定網站上」或「按一下時」,直接拒絕讓其讀取 ChatGPT 或網銀等敏感域名,從底層杜絕流量被攔截!
常見問題解答 (FAQ)
Q1: Urban VPN 不是有 Google 官方的「精選」標誌嗎?點解還會發生 VPN 竊資問題?
A1: 這是因為許多瀏覽器擴充功能在初期審查時確實是安全合規的,因而獲得了高評分與精選標誌。然而,不法開發商往往會在累積了數百萬用戶後,透過後續的「靜默更新(Silent Update)」偷偷在程式碼中塞入惡意腳本。這再度引發了大眾對第三方瀏覽器擴充功能的信任危機,消費者應定期審視已安裝的套件。
Q2: 如果我只是用來睇 YouTube 翻牆,沒有在開啟 VPN 時用 ChatGPT,我的 AI 對話紀錄也會外洩嗎?
A2: 會的!根據資安研究人員的代碼拆解,該數據收集功能的運作完全獨立於 VPN 之外。只要該擴充功能常駐在你的瀏覽器上,無論你的 VPN 是連接還是中斷,只要你一打開 ChatGPT 或 Gemini 的網頁,隱藏的腳本就會即時啟動監控並打包你的數據,因此必須徹底卸載才能保障【ChatGPT 隱私安全】。
Q3: 卸載了惡意擴充功能後,我之前外洩的 AI 對話紀錄還能拿得回來或刪除嗎?
A3: 遺憾的是,一旦數據被攔截並上傳至黑客或數據經紀商的伺服器,用戶是無法從遠端將其刪除的。你目前可以做的止損補救措施是:立刻卸載該擴充功能切斷後續外洩,並前往 ChatGPT 等 AI 平台的設定中,手動清除過去含有身分證、信用卡或商業機密的敏感對話紀錄,並更改網銀等重要帳戶的密碼以防萬一。
Source:koc
【相關話題】
iPhone連免費Wi-Fi隨時戶口清零!專家揭1個預設功能高危如向駭客送錢【教3招自保+VPN推介】
到外國抵達機場或進酒店、餐廳,你是不是馬上找免費 Wi-Fi 連線?這個習慣分分鐘讓你破產!近日美國國家安全局(NSA)與國際網絡安全專家發出警告,蘋果 iPhone 內建的預設 Wi-Fi 功能,極易讓旅客淪為外國駭客的獵物,導致信用卡盜用及網銀帳號外洩。為了保障大家的旅遊安全,本文將以科技旅遊編輯的角度,為你拆解這個隱藏的網絡危機,並傳授 3 招必學的 iPhone 設定。下次出發外遊上網前,記得花短短一分鐘調整手機,別讓開心的旅程變成信用卡的災難。
【延伸閱讀】
翻牆「神話」破滅!LetsVPN 宣布退出中國營運:奮戰 20 天仍被無力突破網絡封鎖【附合法「免翻牆」SIM卡推介】
一直以「永遠能連上」為賣點的知名翻牆軟件快連 VPN(LetsVPN),近日正式宣布終止在中國內地的業務營運。自今年 3 月中旬起,內地網絡審查力度顯著加強,導致多款翻牆工具相繼失效。快連 VPN 在嘗試突圍近三週後,最終承認無法克服技術封鎖,無奈決定退出市場。
技術團隊奮戰 20 天無果:為何「永遠連上」不再奏效?
快連 VPN 於本週二(28 日)發出官方公告,表示受持續的網絡封鎖影響,旗下技術團隊旗雨在過去 20 天內幾乎每小時都在嘗試及調整。然而,經過多番努力後,仍無法確認能有效解決連接問題。因此不得不終止面向中國內地的業務運營。快連 VPN 指出,公司會對每位用戶的權益負責到底,「我們絕不跑路。無論您選擇等待還是暫時離開,我們都會對您的權益負責到底」,目前公司亦正全力開發自動化退款系統,確保款項能有序退回。
Source: ezone.hk