Несколько недель назад один из исследователей безопасности столкнулся с личной дилеммой. По привычке он обратился к ИИ-ассистенту Claude, чтобы обсудить деликатные вопросы, включая финансовые детали и медицинские аспекты. В какой-то момент он задумался: а что если кто-то читает все эти откровенные разговоры? Будучи специалистом по безопасности, он решил проверить эту гипотезу.
Описание
Его команда направила свой инструмент для анализа рисков Wings на поиск браузерных расширений, способных перехватывать диалоги с платформами искусственного интеллекта. Ожидалось обнаружить малоизвестные угрозы. Однако результаты шокировали: в топе списка оказалось расширение Urban VPN Proxy для Chrome. Оно имеет более 6 миллионов пользователей, рейтинг 4.7 звезды и, что наиболее важно, значок «Featured» (Рекомендовано) от Google. Этот значок присваивается после ручной проверки и означает соответствие высоким стандартам дизайна и пользовательского опыта.
Расширение, рекламируемое как бесплатный инструмент для приватности и безопасности, на самом деле содержит скрытый функционал для перехвата разговоров. Оно таргетирует десять популярных ИИ-платформ, включая ChatGPT, Claude, Gemini от Google, Microsoft Copilot и Perplexity. Для каждой платформы в коде расширения прописан отдельный скрипт-исполнитель, предназначенный для перехвата и сбора бесед. Сбор данных включен по умолчанию через жестко прописанные флаги в конфигурации. Пользователь не может отключить эту функцию через настройки; единственный способ остановить сбор - полностью удалить расширение.
Технически механизм работает независимо от основной VPN-функции. Сбор данных продолжается в фоновом режиме, подключен VPN или нет. Процесс включает несколько этапов. Сначала расширение отслеживает вкладки браузера. При посещении любой целевой ИИ-платформы, оно внедряет в страницу специальный скрипт. Этот скрипт перехватывает ключевые браузерные API, такие как fetch() и XMLHttpRequest, через которые проходят все сетевые запросы. Таким образом, когда пользователь отправляет запрос ИИ или получает ответ, расширение перехватывает сырые данные до того, как они будут отображены в браузере. Затем данные анализируются: извлекаются промпты (запросы), ответы ИИ, временные метки и идентификаторы бесед. Упакованная информация отправляется через window.postMessage на фоновый сервис-воркер расширения, который выполняет эксфильтрацию на серверы Urban VPN.
Согласно анализу, функционал сбора данных разговоров ИИ появился не сразу. В версиях до 5.5.0 его не было. Он был добавлен в обновлении 5.5.0, выпущенном 9 июля 2025 года, и с тех пор работает по умолчанию. Учитывая, что расширения в Chrome и Edge обновляются автоматически, миллионы пользователей, установивших Urban VPN для защиты, внезапно и без их ведома стали объектами скрытого наблюдения.
В описании расширения на Chrome Web Store заявлена функция «AI protection» (Защита ИИ). Она позиционируется как инструмент, проверяющий промпты на наличие личной информации, например, email или номера телефона, и предупреждающий пользователя. Однако код показывает иную картину. Функция предупреждения и механизм сбора данных работают независимо. Даже если пользователь отключает уведомления, перехват и эксфильтрация всей беседы продолжаются. Фактически, расширение предупреждает о рисках передачи данных ИИ-компаниям, одновременно отправляя эти же данные на свои серверы.
Проблема масштабируется. Идентичный код для сбора ИИ-диалогов был обнаружен еще в семи расширениях того же издателя, доступных в Chrome Web Store и Microsoft Edge Add-ons. Среди них - 1ClickVPN Proxy, Urban Browser Guard и Urban Ad Blocker. Общее число затронутых пользователей превышает 8 миллионов. Примечательно, что большинство этих расширений также имеют статус «Featured» (Рекомендовано) в своих магазинах, что служит для пользователей неявным знаком одобрения со стороны Google и Microsoft.
За расширениями стоит компания Urban Cyber Security Inc., аффилированная с фирмой BiScience (B.I Science (2009) Ltd.), которая является известным игроком на рынке сбора и продажи данных. Ранее исследователи, такие как Владимир Палант из Secure Annex, уже документировали практики BiScience по сбору истории просмотров (clickstream data) с миллионов пользователей через сеть расширений. Текущее обнаружение свидетельствует о расширении деятельности компании: от сбора истории браузера до перехвата полных, крайне чувствительных диалогов с искусственным интеллектом.
Политика конфиденциальности Urban VPN подтверждает этот поток данных. В ней указано, что «Веб-данные просмотра», включая «Входные и выходные данные ИИ», передаются аффилированной компании BiScience для создания аналитических инсайтов, которые затем коммерчески используются и передаются «Бизнес-партнерам». При этом в листинге на Chrome Web Store разработчик заявляет, что данные «не продаются третьим лицам, за пределами утвержденных случаев использования». Это противоречие ставит под вопрос прозрачность практик компании.
Особую озабоченность вызывает роль платформ распространения. Расширение Urban VPN Proxy имеет значок «Featured» от Google, который присваивается после ручного рассмотрения командой Chrome Web Store. Это означает, что либо ревьюеры не анализировали код, перехватывающий диалоги с их собственным ИИ (Gemini), либо сочли такую практику допустимой. При этом политика Chrome Web Store «Limited Use» прямо запрещает передачу или продажу пользовательских данных таким третьим сторонам, как брокеры данных, коим является BiScience. На момент публикации расследования расширение остается доступным и помеченным как «Рекомендованное».
Для пользователей вывод очевиден. Любой, кто использовал ChatGPT, Claude, Gemini или другие целевые платформы с установленным Urban VPN Proxy или связанными расширениями после 9 июля 2025 года, должен исходить из того, что все эти разговоры могли быть собраны и переданы третьим лицам. Рекомендуется немедленно удалить эти расширения и проверить список установленных дополнений на наличие их аффилированных версий. Этот инцидент служит серьезным напоминанием о том, что инструменты, претендующие на защиту приватности, могут представлять для нее наибольшую угрозу, особенно когда они одобрены и рекомендованы самими гигантами цифровой индустрии.
Индикаторы компрометации
Chrome
- Urban VPN Proxy: eppiocemhmnlbhjplcgkofciiegomcon
- Urban Browser Guard: almalgbpmcfpdaopimbdchdliminoign
- Urban Ad Blocker: feflcgofneboehfdeebcfglbodaceghj
- 1ClickVPN Proxy for Chrome: pphgdbgldlmicfdkhondlafkiomnelnk
Edge
- Urban VPN Proxy: nimlmejbmnecnaghgmbahmbaddhjbecg
- Urban Browser Guard: jckkfbfmofganecnnpfndfjifnimpcel
- Urban Ad Blocker: gcogpdjkkamgkakkjgeefgpcheonclca
- 1ClickVPN Proxy for Edge: deopfbighgnpgfmhjeccdifdmhcjckoe
