800 萬用戶 AI 對話紀錄遭外流:報告揭 Urban VPN 擴充功能攔截機制,機密直傳第三方數據庫
透過 AI 聊天機器人解決生活上的疑惑,甚至與 AI 談心,已經成為許多人每天的日常。然而,近期卻有研究發現,使用者與 AI 的聊天紀錄,正在被我們每天都會接觸到的網路瀏覽器悄悄散播。
以色列資安廠商 Koi Security 發現廣受歡迎的瀏覽器擴充功能 Urban VPN Proxy ,會在背景攔截使用者與 AI 聊天機器人的對話內容,並將這些資料傳送到外部伺服器。這項行為極具侵略性,因為被擷取的內容不僅限於技術性的中繼資料,還包含使用者輸入的原始提示詞以及 AI 回答的完整內容。
Koi Security 的研究人員進一步指出,這些資料的擷取與傳送是在「沒有顯示任何明確提示」的情況下進行,這意味著使用者在與 AI 交流個人隱私、醫療諮詢或公司機密時,資料正悄悄地被外洩。
全球共有 800 萬人受影響,包含個人與企業用戶
根據 Koi Security 的調查,Urban VPN Proxy 的攔截範圍相當廣泛,並配置針對 10 個 AI 平台的專用執行腳本,包含 ChatGPT、Claude、Google Gemini、Microsoft Copilot、Perplexity、Meta AI、xAI Grok 及 DeepSeek 等主流 AI 工具。
研究人員進一步發現,問題並不僅限於 Urban VPN Proxy,而是 Urban Cyber Security 旗下七款瀏覽器擴充功能皆內建相同的監控程式,讓受影響的使用者總數合計超過 800 萬,包含一般使用者與企業用戶。
更令人擔憂的是,這些擴充功能多數曾獲得 Google 或 Microsoft 官方授予的「精選(Featured)」徽章,代表產品已通過人工審核,並被認定符合較高品質與使用者體驗標準。這種帶有官方背書意味的標章,卻成為誘導使用者下載、進而放大隱私外洩規模的信任陷阱。
Urban VPN Proxy 在網頁注入腳本,讀取並複製底層的原始 API 流量
從技術層面來看,Urban VPN Proxy 能夠攔截 AI 對話的關鍵,在於其對瀏覽器網頁執行流程的深度介入。Urban VPN Proxy 是透過注入執行於網頁中的腳本(executor scripts)來實現監控機制,當使用者造訪受監控的 AI 平台時,擴充功能會自動載入針對該平台設計的 JavaScript 檔案,藉此介入使用者與 AI 服務之間的互動流程。
這項技術會在 AI 對話內容尚未呈現在使用者畫面之前,就先行讀取並複製底層的原始 API 流量,因此被視為高度侵略性的攔截手段。研究顯示,系統所收集的內容還包含時間戳記、會話識別碼(conversation IDs)、會話中繼資料(session metadata),以及使用者當下所使用的特定 AI 模型資訊,顯示收集範圍具有高度全面性。
Koi Security 研究人員也指出,這套資料收集機制與 VPN 功能是否啟用並無關聯,因此即便使用者未啟用 VPN,後台的資料攔截行為仍會持續執行,使用者無法透過介面設定終止這項流程。
甚至 Urban VPN 在對外宣傳中,聲稱可以透過「AI 保護」功能協助使用者檢查提示詞中是否包含個人隱私資訊,並即時發出警告。然而研究卻發現,在提醒使用者避免將個資交給 AI 公司的同時,擴充功能本身卻會將相同資料回傳至自家數據中心,並交由數據經紀商母公司 BiScience 進行後續商業利用。
《Bank Info Security》強調,這些 AI 對話資料被傳送至 BiScience 的事實,代表使用者在與 AI 互動時涉及的醫療狀況、財務資訊、專有程式代碼或法律諮詢等高度私密內容,可能已被整理並作為「市場分析」用途,轉售給第三方。
自動升級瀏覽器擴充功能,讓使用者「被動」同意被收集數據
Koi Security 指出,雖然 Urban VPN Proxy 在安裝時的同意畫面中,有提到會處理「ChatAI 通訊」,但這種其實存在嚴重的誤導性,因為儘管有明確聲明會收集 AI 的輸入提示詞(prompts)與輸出結果(outputs),並將其用於「行銷分析目的」,但這些敘述卻被埋藏在隱私政策的深處。
在時間軸與技術層面上,這項監控功能是在 2025 年 7 月 9 日推出的 5.5.0 版本中才正式引入,此前的版本並不具備攔截 AI 對話的能力。由於瀏覽器擴充功能預設採用自動更新的模式,因此多數使用者都是在完全沒有收到功能變更或重新徵求同意的情況下,將原本「乾淨」的版本自動升級為具備資料攔截功能的版本。
Koi Security 報告揭示的風險,不只在於 AI 本身,而在於我們每天都會接觸,卻往往忽略的瀏覽器擴充生態。當標榜「隱私保護」的工具,能在使用者毫無察覺的狀態下攔截並轉售最私密的 AI 對話,這也代表瀏覽器與資料治理,必須再次被嚴肅審視。
*本文開放合作夥伴轉載,資料來源:Koi 、《Bank Info Security》、Malwarebytes,首圖來源:Unsplash