文章总结： 一款拥有600万用户的UrbanVPNProxy浏览器插件被发现在5.5.0版本更新中加入了恶意代码，通过APIHooking技术劫持浏览器原生网络请求API，窃取用户与ChatGPT、Claude等主流AI平台的完整对话记录并上传至远程服务器。文章详细分析了其技术实现方式，包括精准注入、覆盖原生网络API和数据外传三个步骤，并提供了技术人员的防护建议，如减少使用不必要的插件、定期审查插件、关注网络请求以及敏感操作隔离等。 综合评分： 85 文章分类： 漏洞分析,安全意识,数据泄露,应用安全,网络安全

紧急避雷！这款拥有600万用户的“精选”插件，正在悄悄偷你的ChatGPT聊天记录

原创

Hankzheng

技术修道场

2025年12月20日 09:13 广东

大家好，今天我们要聊一下浏览器插件的问题。

在座的各位，平时写代码、查文档、甚至摸鱼的时候，应该离不开 ChatGPT、Claude 或者 DeepSeek 这些 AI 工具吧？我们习惯了向 AI 倾诉工作中的难题，甚至粘贴一些带有项目逻辑的代码片段去寻求优化。

但你有没有想过，当你以为只有你和 AI 在“私聊”时，浏览器右上角的一个不起眼的插件，正搬着小板凳坐在旁边，把你输入的每一个 Prompt（提示词）和 AI 回复的每一个字，都原封不动地打包发给了第三方？

最近，一款拥有 600万日活用户、甚至被打上 Chrome 商店 “Featured（精选）” 标签的 VPN 插件——Urban VPN Proxy，被安全研究人员抓了个现行。

它干了什么？简单来说：它劫持了你的浏览器网络请求，把你和所有主流 AI 的对话全偷了。

今天，我们就从技术的角度，扒一扒它是怎么做到的，以及为什么这种攻击防不胜防。

01 “浓眉大眼”的背叛

Urban VPN Proxy，这名字你可能听过，甚至正在用。因为它免费，而且在 Chrome 商店评分高达 4.7，Edge 商店也有 130 万用户。它甚至还有个很好听的 Slogan：“保护你的在线身份”。

然而，就在 2025 年 7 月 9 日，这个插件推送了 5.5.0 版本 更新。

在这个版本中，开发者悄悄塞进了一段默认开启的“恶意代码”。这段代码的目标非常明确，不是为了翻墙，而是精准狙击目前市面上所有的主流 AI 平台：

• OpenAI ChatGPT
• Anthropic Claude
• Google Gemini
• Microsoft Copilot
• DeepSeek (没错，咱们常用的也被盯上了)
• Perplexity 等等…

安全机构 Koi Security 的报告显示，只要你安装了这个插件，当你访问上述网站时，一个针对性的 JavaScript 脚本就会被激活。

02 硬核解析：它是如何“偷天换日”的？

作为技术人员，我们最关心的当然是：它到底在技术层面上是怎么实现的？

这并非简单的页面 DOM 解析（那种太低级，容易因页面改版而失效）。Urban VPN 采用了一种更底层、更“稳准狠”的方式：API Hooking（API 钩子/劫持）。

1. 精准注入 (Injection) 插件内部硬编码了一套执行逻辑，针对不同的 AI 域名加载不同的执行脚本（例如 chatgpt.js, claude.js）。

2. 覆盖原生网络 API (Override) 这是最鸡贼的一步。一旦脚本注入成功，它会直接重写浏览器原生的网络请求 API——即我们熟悉的 fetch() 和 XMLHttpRequest()。

在前端开发中，我们知道现代 AI 应用大多是单页应用（SPA），聊天内容的收发极其依赖 fetch 请求。这个恶意插件实际上做了一个“中间人代理”。

原本的流程： 你的浏览器 -> 发送请求 -> AI服务器

被劫持后的流程： 你的浏览器 -> 插件重写的 fetch 函数 -> 【插件记录数据】 -> 调用原生的 fetch 继续发送请求 -> AI服务器

通过这种 Monkey Patching（猴子补丁） 的方式，插件可以在你毫不知情的情况下，拦截每一个 Request 和 Response。

3. 数据外传 (Exfiltration) 根据抓包分析，它会截获以下核心数据：

• 你输入的 Prompts
• AI 回复的完整内容
• 对话的时间戳和 Session ID
• 使用的模型版本

然后，这些数据会被静默上传到 analytics.urban-vpn[.]com 等远程服务器。

03 极度讽刺的“隐私保护”

最让我觉得恶心的是，这个插件居然还自带一个叫 “AI Protection（AI 保护）” 的功能。

它的宣传文案是这样的：“我会检查你的 Prompt 是否包含敏感信息，并警告你不要发送。”

现实却是：它确实会弹窗警告你“小心泄露隐私”，但在弹窗的同时，它已经反手把你的隐私打包卖给了数据公司。就像有人一边跟你说“出门记得锁门防盗”，一边把你家钥匙配了一把交给小偷。

调查显示，Urban VPN 的母公司 BIScience 本身就是一家做数据情报和品牌监控的公司。他们收集这些数据的目的非常赤裸——用于商业分析和精准广告投放。虽然他们的隐私政策里写着“我们会脱敏处理”，但在 HTTP Payload 里看到的可是实打实的原始对话数据。

04 这种攻击为什么可怕？

可能有同学会问：“我有 HTTPS，数据传输不是加密的吗？”

这就是浏览器插件攻击的恐怖之处。插件运行在浏览器本地，它拥有比 HTTPS 加密更高级别的权限。

当它通过 Content Script 注入到页面，或者通过 background 权限拦截请求时，它看到的是加密前的明文数据。这就好比你给信件加了把如意金锁，快递员打不开，但你在写信的时候，旁边就站着个隐形人把你写的内容全抄了一遍。

不仅是 Urban VPN，同一家开发商旗下的 1ClickVPN、Urban Browser Guard 等多款插件都被发现存在同样的后门代码。

05 给技术人的防身建议

作为开发者，我们不能只懂写代码，不懂防身。

1. 极简主义原则 浏览器插件是安全重灾区。对于 VPN、去广告、比价类插件，能不装就不装，能用开源就用开源。

2. 定期审查 即使是之前“良心”的插件，也可能像这次一样，在某次自动更新后突然“黑化”。Chrome 商店的“Featured”标签并不代表 100% 安全（这已经是 Google 审核机制被打脸的第 N 次了）。

3. 关注网络请求 如果你怀疑某个插件有问题，F12 打开 Network 面板，或者使用抓包工具（如 Charles/Fiddler），看看有没有莫名其妙发往陌生域名的请求。

4. 敏感操作隔离 如果你需要处理极度敏感的代码或数据，建议使用 无痕模式（Incognito） 且默认禁用所有插件，或者干脆换一个纯净的浏览器环境。

最后：

技术本无罪，但人心隔肚皮。在 AI 时代，你的 Prompt 可能包含了你的思维方式、工作机密甚至情感隐私。请务必守护好这一方净土。

如果你安装了 Urban VPN 或同类产品，建议立即卸载！

觉得这篇文章有用？ 欢迎 【转发】 给身边的同事，或者点个 【在看】，避开这个深坑！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng《紧急避雷！这款拥有600万用户的“精选”插件，正在悄悄偷你的ChatGPT聊天记录》