背景介紹
一款在 Google Chrome 上廣受好評的擴充功能,承諾提供安全和隱私保障,卻被發現暗中攔截和收集用戶在十大熱門 AI 聊天平台上的對話內容。這些平台包括 OpenAI 的 ChatGPT、Google 的 Gemini、Anthropic 的 Claude 和 Microsoft 的 Copilot 等。
收集信息的細節
據 Koi Security 的安全研究人員指出,該擴充功能不僅收集用戶的對話內容,還包括聊天機器人的回應、會話識別碼、時間戳、會話元數據以及所使用的 AI 平台和模型,這些數據隨後被分享給第三方如廣告商和數據經紀人。
更深入的調查
Koi 的聯合創辦人兼首席技術官 Idan Dardikman 表示,他們進一步調查發現,來自同一發行商的其他七款擴充功能也具備相同功能,並被安裝在 Chrome 和 Edge 瀏覽器上,將曝光用戶數量增加至 800 萬。
瀏覽器擴充功能的安全風險
CrowdStrike 的高級產品經理 Hari Holla 在今年早些時候的一篇部落格文章中指出,雖然瀏覽器擴充功能可以為用戶帶來便利,但也可能成為安全漏洞的入口。這些擴充功能通常需要用戶授予大量權限,一旦被濫用,可能導致敏感數據的洩露。
信任的危機
Dardikman 在一份報告中指出,瀏覽器擴充功能通常被賦予高度信任,它們在背景中運行,擁有對用戶瀏覽活動的廣泛訪問權限,並且可以自動更新,這使得用戶很難察覺潛在的安全風險。
版本變更的影響
據 Koi 的報告,這款名為 Urban VPN Proxy 的擴充功能在版本 5.5.0 之前並未包含收集 AI 聊天對話的功能。自該版本起,此功能默認啟用,導致用戶的對話被攔截並分享給第三方。
結語
對於希望保護個人隱私的用戶而言,選擇合適的瀏覽器擴充功能至關重要。如需進一步的網路安全保障,考慮使用專業的網路服務提供商,如北斗數位提供的 DDoS 防禦及抗攻擊主機服務,確保您的網路安全運行。