Chrome浏览器扩展程序Urban VPN Proxy窃取了数百万用户的AI聊天记录

一款带有“精选”徽章且拥有 600 万用户的 Google Chrome 扩展程序被发现悄无声息地收集用户在OpenAI ChatGPT、Anthropic Claude、Microsoft Copilot、DeepSeek、Google Gemini、xAI Grok、Meta AI和Perplexity等人工智能（AI）聊天机器人中输入的每一个提示信息。

这款名为Urban VPN Proxy的扩展程序在Google Chrome网上应用商店的评分为4.7分。它宣称提供“最安全的免费VPN访问任何网站并解锁内容”。其开发商是一家位于特拉华州的公司，名为Urban Cyber​​ Security Inc .。在 Microsoft Edge 附加组件市场，它的安装量已达130万次。

尽管声称该软件允许用户“保护您的在线身份、保持安全并隐藏您的 IP 地址”，但在 2025 年 7 月 9 日，5.5.0 版本发布时，向用户推送了更新，其中使用硬编码设置默认启用了 AI 数据收集功能。

具体来说，这是通过为每个 AI 聊天机器人（即 chatgpt.js、claude.js、gemini.js）定制的执行器 JavaScript 来实现的，以便在安装了扩展程序的用户每次访问任何目标平台时拦截和收集对话。

脚本注入后，它会覆盖用于处理网络请求的浏览器 API（fetch()和XMLHttpRequest()），以确保每个请求首先通过扩展程序的代码进行路由，从而捕获对话数据（包括用户的提示和聊天机器人的响应），并将其泄露到两个远程服务器（“analytics.urban-vpn[.]com”和“stats.urban-vpn[.]com”）。

该扩展程序捕获的数据具体列表如下 -

• 用户输入的提示
• 聊天机器人回复
• 对话标识符和时间戳
• 会话元数据
• 使用的人工智能平台和模型

Koi Security 的 Idan Dardikman 在今天发布的一份报告中指出：“Chrome 和 Edge 浏览器的扩展程序默认会自动更新。一些用户安装 Urban VPN 的目的仅仅是为了使用其 VPN 功能，却在某天醒来发现，新的代码正在悄悄地收集他们的 AI 对话。”

值得一提的是，Urban VPN 于 2025 年 6 月 25 日更新的隐私政策中提到，它收集这些数据是为了增强安全浏览功能和用于市场分析目的，并且对收集到的 AI 提示的任何其他二次使用都将在去标识化和匿名化的数据上进行。

作为浏览数据的一部分，我们将收集最终用户请求的提示和输出，或人工智能聊天提供商生成的提示和输出（如适用）。也就是说，我们只对人工智能提示以及您与聊天人工智能交互的结果感兴趣。

由于人工智能提示所涉及的数据性质，可能会处理一些敏感的个人信息。但是，此类处理的目的并非收集个人或可识别数据。我们无法完全保证删除所有敏感或个人信息，但我们会采取措施过滤或消除您通过提示提交的任何标识符或个人数据，并对数据进行匿名化和汇总处理。

VPN软件制造商指出，该公司与之共享“网络浏览数据”的第三方之一是其关联的广告情报和品牌监测公司BIScience。该公司使用原始（未匿名化）数据来创建洞察，这些洞察“用于商业用途并与商业伙伴共享”。

值得注意的是，BIScience（同时也是 Urban Cyber​​ Security Inc. 的所有者）在今年 1 月初被一位匿名研究人员指出，该公司在误导性的隐私政策披露下收集用户的浏览历史记录（或称点击流数据）。

据称，该公司向合作的第三方扩展程序开发者提供软件开发工具包 (SDK)，以收集用户的点击流数据，并将这些数据传输到sclpfybn[.]com域名及其控制下的其他端点。

研究人员指出， “BIScience及其合作伙伴利用Chrome网上应用商店政策中的漏洞，主要是有限使用政策中列出的例外情况，即‘已批准的用例’”，并补充说，他们“开发面向用户的功能，声称需要访问浏览历史记录，以利用‘为提供或改进您的单一用途所必需’的例外情况”。

在扩展程序列表页面上，Urban VPN 还重点介绍了“AI 保护”功能，该功能称会检查提示信息中的个人数据、聊天机器人回复中的可疑或不安全链接，并在用户提交提示信息或点击链接之前显示警告。

虽然这种监控被包装成防止用户意外泄露任何个人信息，但开发者没有提到的是，无论该功能是否启用，数据收集都会发生。

“保护功能会偶尔发出警告，提醒您不要与人工智能公司共享敏感数据，”达迪克曼说。“而数据收集功能会将这些敏感数据以及其他所有数据发送到 Urban VPN 自己的服务器，然后出售给广告商。该扩展程序会警告您不要与 ChatGPT 共享电子邮件，同时却会将您的整个对话泄露给数据经纪商。”

Koi Security表示，他们在Chrome和Microsoft Edge浏览器中发现同一发行商推出的其他三个独立扩展程序也具有相同的AI数据采集功能，这使得该扩展程序的总安装量超过800万。

• 1ClickVPN Proxy
• Urban Browser Guard
• Urban Ad Blocker

除了 Urban Ad Blocker for Edge 之外，所有这些扩展程序都带有“精选”徽章，这给用户留下了这样的印象：它们遵循了平台的“最佳实践，并达到了用户体验和设计的高标准”。

“这些徽章向用户表明，这些扩展程序已经过审核，符合平台质量标准，”达迪克曼指出。“对许多用户来说，‘精选’徽章决定了他们是否会安装某个扩展程序——这相当于谷歌和微软的默认认可。”

研究结果再次表明，与扩展市场相关的信任可能会被滥用，从而大规模地收集敏感数据，尤其是在用户越来越多地与人工智能聊天机器人分享深度个人信息、获取建议和讨论情感的当下。

微软发言人表示，公司正在调查该报道，并将根据公司政策采取适当措施。

截至2025年12月18日，这四款扩展程序均已从Chrome网上应用商店下架。截至2025年12月23日，这四款扩展程序已从微软Edge插件市场下架。