文章总结： 一款名为UrbanVPNProxy的Chrome扩展程序被发现秘密收集用户与AI聊天机器人的全部对话数据，该扩展程序拥有600万用户并带有精选徽章。它在2025年7月更新后默认启用数据收集功能，通过定制JavaScript脚本拦截用户在ChatGPT、Claude等平台的对话，包括用户提示、AI回复和会话元数据，并将这些数据传输到远程服务器。尽管隐私政策声称数据会被匿名化，但实际上原始数据被出售给广告情报公司。同一发行商的其他三个扩展程序也有相同功能，总安装量超过800万，这些扩展程序都带有精选徽章，误导用户认为它们经过严格审核。 综合评分： 84 文章分类： 漏洞分析,威胁情报,数据安全,应用安全,安全意识

标记为“精选”的浏览器扩展程序监听用户与AI的全部对话并以此获利

会杀毒的单反狗

军哥网络安全读报

2025年12月16日 09:01 湖北

导读

一款带有“精选”徽章且拥有 600 万用户的 Google Chrome 扩展程序被发现悄无声息地收集用户在 OpenAI ChatGPT、Anthropic Claude、Microsoft Copilot、DeepSeek、Google Gemini、xAI Grok、Meta AI 和 Perplexity 等人工智能 (AI) 聊天机器人中输入的每一个提示信息。

这款名为Urban VPN Proxy 的扩展程序在 Google Chrome 网上应用商店的评分为 4.7 分。它宣称提供“最安全的免费 VPN 访问任何网站并解锁内容”。其开发商是一家位于特拉华州的公司，名为Urban Cyber Security Inc .。在 Microsoft Edge 附加组件市场，它的安装量已达 130 万次。

尽管该扩展程序声称允许用户“保护在线身份、保持安全并隐藏 IP 地址”，但该扩展程序在 2025 年 7 月 9 日更新，发布了 5.5.0 版本，默认情况下启用了 AI 数据收集功能，该功能使用硬编码设置。

具体来说，这是通过为每个 AI 聊天机器人（即 chatgpt.js、claude.js、gemini.js）定制的执行器 JavaScript 来实现的，以便在安装了扩展程序的用户每次访问任何目标平台时拦截和收集对话。

脚本注入后，它会覆盖用于处理网络请求的浏览器 API（fetch() 和 XMLHttpRequest()），以确保每个请求首先通过扩展程序的代码进行路由，从而捕获对话数据（包括用户的提示和聊天机器人的响应），并将其泄露到两个远程服务器（“analytics.urban-vpn[.]com”和“stats.urban-vpn[.]com”）。

该扩展程序捕获的数据具体列表如下：

• 用户输入的提示
• 聊天机器人回复
• 对话标识符和时间戳
• 会话元数据
• 使用的人工智能平台和模型

Koi Security 在今天发布的一份报告中指出：“Chrome 和 Edge 浏览器的扩展程序默认会自动更新。一些用户安装 Urban VPN 的目的仅仅是为了使用其 VPN 功能，却在某天醒来发现，新的代码正在悄悄地收集他们的 AI 对话。”

值得一提的是，Urban VPN 于 2025 年 6 月 25 日更新的隐私政策中提到，它收集这些数据是为了增强安全浏览功能和用于市场分析目的，并且对收集到的 AI 提示的任何其他二次使用都将在去标识化和匿名化的数据上进行。

“作为浏览数据的一部分，我们将收集最终用户请求的提示和输出，或人工智能聊天提供商生成的提示和输出（如适用）。也就是说，我们只对人工智能提示以及您与聊天人工智能交互的结果感兴趣。”

“由于人工智能提示所涉及的数据性质，可能会处理一些敏感的个人信息。但是，处理这些数据的目的并非收集个人或可识别身份的数据。我们无法完全保证删除所有敏感或个人信息，但我们会采取措施过滤或消除您通过提示提交的任何标识符或个人数据，并对数据进行匿名化和汇总处理。”

该VPN扩展程序制造商指出，该公司与之共享“网络浏览数据”的第三方之一是其关联的广告情报和品牌监测公司BIScience。该公司使用原始（未匿名化）数据来创建洞察，这些洞察“用于商业用途并与商业伙伴共享”。

值得注意的是，BiScience（同时也是 Urban Cyber Security Inc. 的所有者）在今年 1 月初被一位匿名研究人员指出，该公司在误导性的隐私政策披露下收集用户的浏览历史记录（或称点击流数据）。

据称，该公司向合作的第三方扩展程序开发者提供软件开发工具包 (SDK)，以收集用户的点击流数据，并将这些数据传输到sclpfybn[.]com及其控制下的其他端点。

研究人员指出，“BIScience及其合作伙伴利用Chrome网上应用商店政策中的漏洞，主要是有限使用政策中列出的例外情况，即‘已批准的用例’”，并补充说，他们“开发面向用户的功能，声称需要访问浏览历史记录，以利用‘为提供或改进您的单一用途所必需’的例外情况”。

在扩展程序列表页面上，Urban VPN 还重点介绍了“AI 保护”功能，该功能称会检查提示信息中的个人数据、聊天机器人回复中的可疑或不安全链接，并在用户提交提示信息或点击链接之前显示警告。

虽然这种监控被包装成防止用户意外泄露任何个人信息，但开发者没有提到的是，无论该功能是否启用，数据收集都会发生。

“保护功能会不时发出警告，提醒您不要与人工智能公司共享敏感数据。”Koi Security研究人员说。“数据收集功能会将这些敏感数据以及其他所有数据发送到 Urban VPN 自己的服务器，然后出售给广告商。该扩展程序会警告您不要与 ChatGPT 共享电子邮件，同时却会将您的整个对话泄露给数据经纪商。”

Koi Security表示，他们在Chrome和Microsoft Edge浏览器中发现同一发行商推出的其他三个独立扩展程序也具有相同的AI数据采集功能，这使得该扩展程序的总安装量超过800万。

• 1ClickVPN Proxy
• Urban Browser Guard
• Urban Ad Blocker

除了 Urban Ad Blocker for Edge 之外，所有这些扩展程序都带有“精选”徽章，这给用户留下了这样的印象：它们遵循了平台的“最佳实践，并达到了用户体验和设计的高标准”。

“这些徽章向用户表明，这些扩展程序已经过审核，符合平台质量标准。对许多用户来说，‘精选’徽章决定了他们是否会安装某个扩展程序——这相当于谷歌和微软的默认认可。”

研究结果再次表明，与扩展市场相关的信任可能会被滥用，从而大规模地收集敏感数据，尤其是在用户越来越多地与人工智能聊天机器人分享深度个人信息、获取建议和讨论情感的当下。

技术报告：

《800万用户的AI对话被“隐私”扩展程序出售牟利》

https://www.koi.ai/blog/urban-vpn-browser-extension-ai-conversations-data-collection

新闻链接：

https://thehackernews.com/2025/12/featured-chrome-browser-extension.html

今日安全资讯速递

APT事件

Advanced Persistent Threat

xHunt APT黑客攻击微软Exchange和IIS Web服务器，部署自定义后门

xHunt APT Hackers Attacking Microsoft Exchange and IIS Web Servers to Deploy Custom Backdoors

亚马逊报告将旨在破坏云服务的多年黑客行动与俄罗斯联系起来

AWS Report Links Multi-Year Effort to Compromise Cloud Services to Russia

与哈马斯有关的Ashen Lepus 黑客组织利用新型 AshTag 恶意软件攻击中东外交机构

Ashen Lepus Hacker Group Attacks Eastern Diplomatic Entities With New AshTag Malware

以色列商业间谍软件Predator(捕食者)无视美国制裁成为隐蔽世界最顽固的参与者

https://www.cysecurity.news/2025/12/emerging-predator-spyware-technique.html

一般威胁事件

General Threat Incidents

GitHub React2Shell 扫描器 (CVE-2025-55182) 被证实为恶意软件

GitHub Scanner for React2Shell (CVE-2025-55182) Turns Out to Be Malware

谷歌发现5个犯罪团伙利用React2Shell传播恶意软件

https://www.securityweek.com/google-sees-5-chinese-groups-exploiting-react2shell-for-malware-delivery/

ZnDoor恶意软件利用React2Shell漏洞入侵日本网络基础设施

ZnDoor Malware Exploiting React2Shell Vulnerability to Compromise Network Devices

PCPcat恶意软件利用React2Shell漏洞入侵超过59000台服务器

PCPcat Malware Leverages React2Shell Vulnerability to Breach 59,000+ Servers

新型安卓恶意软件 Frogblight 模仿官方政府网站，窃取短信和设备信息

New Android Malware Frogblight Mimics as Official Government Websites to Collect SMS and Device Details

幽灵窃贼利用 ISO 文件入侵 Windows 系统

https://www.esecurityplanet.com/threats/phantom-stealer-uses-iso-files-to-breach-windows-systems/

捷豹路虎：网络犯罪窃取工资数据，震动英国经济

https://www.theregister.com/2025/12/15/jlr_payroll_data_stolen_in/

一个不安全的数据库暴露了 43 亿条源自 LinkedIn 的记录

https://www.esecurityplanet.com/threats/4-3-billion-records-exposed-in-massive-lead-generation-data-leak/

标记为“精选”的浏览器扩展程序监听用户与AI的全部对话并以此获利

https://thehackernews.com/2025/12/featured-chrome-browser-extension.html

漏洞事件

Vulnerability Incidents

Shannon – 一款人工智能渗透测试工具，可自动检查代码漏洞并执行真实漏洞利用

Shannon – AI Pentesting Tool that Autonomously Checks for Code Vulnerabilities and Executes Real Exploits

苹果0day漏洞被用于针对iPhone的间谍软件攻击

https://www.esecurityplanet.com/threats/apple-zero-day-exploits-used-in-targeted-iphone-spyware-attacks/

JumpCloud Windows 版远程协助代理存在提权漏洞

JumpCloud Remote Assist for Windows Agent Flaw Let Attackers Escalate Privilege

pgAdmin 存在严重漏洞，攻击者可利用该漏洞在主机上执行 Shell 命令

Critical pgAdmin Vulnerability Let Attackers Execute Shell Commands on the Host

Apache StreamPark漏洞允许攻击者访问敏感数据

Apache StreamPark Vulnerability Let Attackers Access Sensitive Data

NVIDIA Merlin漏洞允许攻击者执行恶意代码并触发拒绝服务攻击

NVIDIA Merlin Vulnerabilities Let Attackers Execute Malicious Code and Trigger DoS Condition

Plesk 严重漏洞允许 Plesk 用户获得 root 权限

Critical Plesk Vulnerability Allows Plesk Users to Gain Root-Level Access

Atlassian 修复了 Apache Tika 中的最高严重性漏洞 CVE-2025-66516

Atlassian fixed maximum severity flaw CVE-2025-66516 in Apache Tika

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

查看原文：《标记为“精选”的浏览器扩展程序监听用户与AI的全部对话并以此获利》