Hacker News 中文摘要

RSS订阅

"隐私"扩展程序出售800万用户AI聊天记录牟利 -- 8M Users' AI Conversations Sold for Profit by "Privacy" Extensions

原文链接 | HN讨论 | 2025-12-16 12:24:49

文章摘要

一款名为Urban VPN Proxy的浏览器扩展被曝收集并出售800万用户的AI聊天数据,包括个人隐私信息。该扩展拥有600万用户和高评分,却暗中窃取用户与AI助手的私密对话内容,涉及健康、财务等敏感话题。安全研究人员发现这一行为后发出警告。

文章总结

标题:800万用户AI对话遭"隐私"插件倒卖 | Koi博客深度调查

核心发现: 1. 知名VPN插件Urban VPN及其关联产品被证实暗中窃取用户与AI助手的对话内容,受影响用户超800万。

技术细节: - 数据收集范围:覆盖ChatGPT、Claude、Gemini等10个主流AI平台 - 运作机制: * 通过注入专用脚本(如chatgpt.js)劫持页面API请求 * 拦截原始网络流量获取完整对话记录 * 通过加密通道传输至analytics.urban-vpn.com等服务器 - 隐蔽性:无禁用选项,VPN断开后仍持续收集

时间线: - 2025年7月9日发布的5.5.0版本首次植入监控功能 - 通过自动更新机制强制推送给所有用户

商业链条: - 运营方Urban Cyber Security与数据经纪公司BiScience存在关联 - 隐私政策承认将"AI输入输出"数据用于营销分析 - 与插件商店声明的"不出售数据"承诺明显矛盾

平台责任: - 涉事插件在Chrome和Edge商店均获得"精选"认证标志 - 谷歌审查流程未能发现其对自家Gemini产品的数据窃取

安全建议: 1. 立即卸载相关插件(提供完整ID列表) 2. 假设2025年7月后的AI对话均已泄露 3. 谨慎评估浏览器扩展权限

行业警示: - 扩展程序自动更新机制存在滥用风险 - 应用商店认证体系出现明显漏洞 - AI对话等新型敏感数据成为黑产新目标

(注:原文中12张配图及技术代码片段已转化为文字说明,保留关键证据描述。商业化推广内容已过滤,聚焦核心安全问题。)

评论总结

总结评论内容如下:

  1. 对免费VPN扩展的质疑

    • 认为免费VPN会收集用户数据并出售IP地址
    • "With those extensions the user's data and internet are the product"(用户的数据和网络就是产品)
    • "a free of cost vpn extension that requires access to all sites and data is somehow spyware"(要求访问所有网站和数据的免费VPN就是间谍软件)

  2. 对Google审查机制的批评

    • 认为Google审查不严格,应该建立更完善的系统
    • "Google does not do a thorough app review"(Google没有进行彻底的应用程序审查)
    • "Maybe a public extension safety directory?"(也许应该建立一个公共扩展安全目录?)

  3. 对恶意扩展的担忧

    • 担心WebAssembly等技术会使恶意扩展更难被发现
    • "Is the use of WebAssembly going to make spotting these malicious extensions harder?"(WebAssembly的使用会让发现这些恶意扩展变得更难吗?)
    • 认为Manifest V3并未如承诺那样提高安全性
    • "I thought manifest v3 was supposed to make chrome extensions secure?"(我以为Manifest V3应该让Chrome扩展更安全?)

  4. 对科技行业现状的批评

    • 认为当前科技产品充满欺骗和滥用
    • "So much of what's aimed at nontechnical consumers these days is full of dishonesty and abuse"(如今面向非技术用户的很多东西都充满了欺骗和滥用)
    • 希望科技行业能有更好的道德标准
    • "Wish people would just be decent to each other"(希望人们能彼此善待)

  5. 不同角度的观点

    • 有人认为免费产品的商业模式可以理解
    • "People often forget that developers are humans too"(人们常常忘记开发者也是人)
    • 也有用户表示会严格筛选扩展
    • "I treat extensions like they're all capable of privileged local code execution"(我把所有扩展都当作能执行特权本地代码的东西来对待)

  6. 对公司背景的讨论

    • 有评论指出相关公司在法律上是合法的
    • "They look really legitimate on the outside"(从表面看他们非常合法)
    • 也有评论提到过去类似公司的可疑行为
    • "As someone who has witnessed BiScience tracking in the past"(作为过去见证过BiScience追踪行为的人)