吳明宜一個被 Chrome 線上應用程式商店列為「熱門精選」,且擁有 600 萬用戶的擴充程式,被發現會悄悄蒐集使用者輸入 OpenAI ChatGPT 、 Anthropic Claude 、 Microsoft Copilot 或 Google Gemini 等聊天機器人的提示詞。
這個擴充程式名為 Urban VPN Proxy,在 Chrome 線上應用程式商店擁有 4.7 顆星的高評價,號稱「最佳免費 VPN」,可連接任何網站或解鎖受限內容。其開發商是位於美國德拉威州的 Urban Cyber Security Inc 。除了 Chrome 平台,該程式在 Microsoft Edge 外掛程式市集也擁有 130 萬次的安裝佳績。然而,其最新版本(2025 年 7 月 9 日發佈的 5.5.0 版)雖然宣稱能確保用戶線上身分安全,實際上卻以程式碼寫死(hard-coded)的方式,預設蒐集使用者的 AI 互動資料。
發現此漏洞的 Koi Security 研究人員指出,這款 VPN 是透過注入專為各類 AI 聊天機器人設計的 JavaScript(如 chatgpt.js 、 claude.js 、 gemini.js)來運作。一旦使用者開啟相應的聊天機器人網頁,這些惡意腳本就會被觸發,並攔截對話內容。
這些 JavaScript 一旦注入,便會覆寫處理網路請求的瀏覽器 API,例如 fetch()和 XMLHttpRequest(),確保所有請求都會先被導向流經這個 VPN,使其能攔截包括使用者提示詞、聊天機器人回應等內容,並將資料傳送到兩台遠端伺服器。
這個外掛蒐集的資料包括:
- 使用者輸入的提示
- 聊天機器人回應內容
- 對話識別碼 (ID) 和時間戳記 (Timestamp)
- 會話 (session) metadata
- AI 平台和使用模型
研究人員 Idan Dardikman 說,由於 Chrome 和 Edge 瀏覽器擴充程式都是預設自動更新,以為自己安裝了 VPN 擴充程式的用戶,卻被它悄悄把對話內容傳出去。
值得一提的是,在 2025 年 6 月 25 日 Urban VPN 更新的隱私政策中,宣稱它蒐集 AI 提示資料是為了改進 Google 安全上網以及行銷分析用途,其次,它說會將資料匿名化及去識別化才做為其他用途。
可獲得它分享用戶上網資料的一家公司是廣告分析及品牌監控業者 BIScience 。該公司會利用原始(匿名)資料製作分析報告,再分享給「商業合作夥伴」。事實上,BIScience 也是 Urban Cyber Security Inc 公司持有人,今年一月被研究人員踢爆會在名不符實的隱私政策下,蒐集用戶上網或點擊資料。它提供 SDK 給第三方擴充程式開發商蒐集用戶點擊資料,再傳送到它控管的網域或其他端點。
Urban VPN 在 Google Web 擴充程式網頁上還宣稱,它蒐集 AI 提示及回應內容是為了檢查有否可疑連結,且會在使用者送出提示或點擊連結時發出警告的假象。
Koi Security 研究人員還說,除了 Urban VPN ,他們還在 Chrome 及 Edge 擴充程式查到其他三個類似的可疑程式,總安裝人數高達 800 萬,包括 1ClickVPN Proxy 、 Urban Browser Guard 和 Urban Ad Blocker,除了 Urban Ad Blocker for Edge 外,都是列入「熱門精選」名單的擴充程式。
不過到了 12 月 28 日,Chrome Web Store 已經將這四款程式移除。 Edge 版本還在,只是移除了「精選」標籤。