Група популярних безкоштовних VPN-розширень для браузерів, які сумарно мають понад 8 мільйонів завантажень, була викрита у зборі та монетизації приватних листувань користувачів зі штучним інтелектом. Про це повідомляє компанія з кібербезпеки Koi Security.

Шпигунський код у вашому браузері

Дослідники виявили масштабну операцію зі збору даних, вбудовану в розширення, які доступні в офіційних магазинах Chrome Web Store та Microsoft Edge Add-ons. Починаючи з липня 2025 року (версія 5.5.0), ці програми почали перехоплювати діалоги користувачів із найпопулярнішими AI-платформами, серед яких ChatGPT, Claude, Gemini, Copilot та Grok.

Механізм перехоплення працює приховано: спеціальні скрипти вбудовуються в сесію браузера та отримують доступ до внутрішніх процесів обміну даними (API). Це дозволяє розширенням у реальному часі копіювати як запити користувача, так і відповіді штучного інтелекту, а також фіксувати метадані, такі як час розмови та ідентифікатори сесій.

«Чорний список» розширень

Експерти назвали конкретні програми, які містять код для збору даних. Більшість із них належить бренду Urban VPN.

У магазині Chrome Web Store:

Urban VPN Proxy (6 000 000 користувачів);

1ClickVPN Proxy (600 000 користувачів);

Urban Browser Guard (40 000 користувачів);

Urban Ad Blocker (10 000 користувачів).

У магазині Microsoft Edge Add-ons:

Аналогічний набір розширень, де лідером також є Urban VPN Proxy з понад 1,3 млн користувачів.

Примітно, що деякі з цих програм мали позначку «Рекомендовані» від магазинів Google та Microsoft, що зазвичай має гарантувати безпеку.

Політика конфіденційності проти реальності

Всі ці розширення керуються американською компанією Urban Cyber Security Inc., яка пов'язана з маркетинговою фірмою BiScience. Зібрані дані передаються на сервери аналітики Urban VPN.

Хоча в політиці конфіденційності компанії дрібним шрифтом зазначено, що «вхідні та вихідні дані ШІ» можуть збиратися для маркетингових цілей, дослідники вказують на суттєві порушення етики:

В описі розширень у магазині Chrome заявлено, що дані «не продаються третім особам», що вводить користувачів в оману.

Функція стеження була додана через автоматичне оновлення у липні 2025 року без явного попередження існуючих користувачів.

У інтерфейсі програм немає кнопки «Відмовитися». Навіть якщо вимкнути VPN або функції захисту, збір даних про чати продовжується.

Чому це важливо

Цей інцидент демонструє критичну вразливість корпоративної та особистої безпеки в епоху ШІ.

Користувачі часто використовують чат-боти для роботи: завантажують туди програмний код, чернетки юридичних документів, фінансові звіти або обговорюють медичні діагнози. Оскільки ці VPN-розширення збирають інформацію без розбору, маркетингова компанія отримує доступ до величезного масиву конфіденційних даних. Навіть якщо вони обіцяють «анонімізувати» дані, зміст самих діалогів може містити інформацію, яка дозволяє ідентифікувати особу чи розкрити комерційну таємницю.

Це чергове нагадування про те, що безкоштовні VPN-сервіси майже завжди монетизують своїх користувачів, перетворюючи їхнє приватне життя на товар.