网络安全研究人员发现,Chrome 网上应用店中存在两款新的恶意扩展程序,专门用于窃取用户与 OpenAI ChatGPT 及 DeepSeek 的聊天记录,并将浏览数据一并上传至攻击者控制的服务器。
这两款扩展程序的名称及其用户数量如下:
- Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI(ID:fnmihdojmnkclgjpcoonokmkhjpjechg,用户量约 60 万)
- AI Sidebar with Deepseek, ChatGPT, Claude, and more.(ID:inhcgfpbfdjbjogdfjbclgolkmhnooop,用户量约 30 万)
此次发现紧随另一起事件:拥有数百万安装量的 Urban VPN Proxy 扩展程序也被曝出暗中监控用户与 AI 聊天机器人的对话。Secure Annex 将这种通过浏览器扩展窃取 AI 对话的行为命名为 “Prompt Poaching”(提示词掠夺)。
OX Security 的研究员 Moshe Siman Tov Bustan 表示,这两款新发现的扩展程序“每 30 分钟将用户的聊天记录及所有 Chrome 标签页 URL 上传至远程 C2 服务器”。他指出:“这些恶意软件通过请求用户授权‘匿名、不可识别的分析数据’,实则窃取了 ChatGPT 与 DeepSeek 的完整对话内容。”
这两款恶意扩展程序伪装成合法扩展 “Chat with all AI models (Gemini, Claude, DeepSeek…) & AI Agents”(由 AITOPIA 开发,用户量约 100 万)。截至发稿时,这两款扩展仍可在 Chrome 网上应用店下载,不过前者已被取消了“精选”标识。
安装后,这些扩展会诱导用户授权其收集“匿名浏览行为数据”,声称用于优化侧边栏体验。一旦用户同意,嵌入的恶意代码便开始收集浏览器标签页信息及 AI 聊天内容。
具体做法是:扩展程序会查找网页中的特定 DOM 元素,提取聊天消息并本地存储,随后上传至远程服务器(如 chatsaigpt[.]com 或 deepaichats[.]com)。
更令人担忧的是,攻击者还利用 AI 驱动的网页开发平台 Lovable 托管其隐私政策及其他基础设施(如 chataigpt[.]pro 或 chatgptsidebar[.]pro),以掩盖其恶意行为。
安装此类扩展的后果可能非常严重,因为它们不仅能窃取用户与 ChatGPT、DeepSeek 的对话内容,还能获取浏览记录、搜索关键词甚至企业内部 URL。
OX Security 警告称:“这些数据可能被用于企业间谍活动、身份盗用、定向钓鱼攻击,或在地下论坛出售。若企业员工安装了这些扩展,可能在不知情的情况下泄露了知识产权、客户数据及商业机密。”
合法扩展也加入“Prompt Poaching”行列
Secure Annex 还指出,一些看似合法的浏览器扩展也在进行“Prompt Poaching”,包括:
- Similarweb(用户量约 100 万)
- Sensor Tower 的 Stayfocusd(用户量约 60 万)
Similarweb 据称于 2025 年 5 月引入了监控 AI 对话的功能,并在 2026 年 1 月 1 日的更新中弹出了完整的服务条款,明确告知用户其输入至 AI 工具的数据将被收集,用于“深入分析流量与参与度指标”。其 2025 年 12 月 30 日的隐私政策更新也明确指出:
此类信息包括您输入或提交至某些人工智能工具的提示词、查询、内容、上传或附加的文件(如图片、视频、文本、CSV 文件)及其他输入内容,以及您从这些 AI 工具中获得的输出结果(包括任何附加文件)——统称为“AI 输入与输出”。
鉴于 AI 工具中常见的 AI 输入与输出及元数据的性质,可能会无意中收集或处理某些敏感数据。然而,我们的处理目的并非为了识别您的身份。尽管我们无法保证所有个人数据都被移除,但我们会尽可能采取措施过滤或移除您输入至这些 AI 工具中的识别信息。
进一步分析发现,Similarweb 使用 DOM 抓取或劫持浏览器原生 API(如 fetch() 和 XMLHttpRequest())——与 Urban VPN Proxy 类似——通过加载远程配置文件,实现对 ChatGPT、Claude、Gemini 和 Perplexity 的对话数据抓取。
Secure Annex 的 John Tuckner 告诉 The Hacker News,这种行为在 Chrome 和 Edge 版本的 Similarweb 扩展中均存在。其 Firefox 版本最后一次更新是在 2019 年。
Tuckner 表示:“显然,‘Prompt Poaching’已经到来,正在窃取你最敏感的对话内容,而浏览器扩展就是其利用的载体。目前尚不清楚这是否违反了谷歌‘扩展应单一用途、不得动态加载代码’的政策。”
“这仅仅是开始。越来越多的公司将意识到这些数据的价值。扩展开发者为了变现,也会将这类由营销公司提供的复杂库集成到自己的应用中。”
建议
若您已安装上述扩展程序并担心隐私泄露,建议立即卸载,并避免安装来源不明的扩展,即使它们带有“精选”标签。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容