Исследователи в области кибербезопасности обнаружили, что Urban VPN Proxy, популярное бесплатное расширение VPN для браузеров с миллионами установок, собирало и экспортировало полные диалоги из чатов с искусственным интеллектом из браузеров пользователей.
Для организаций, сотрудники которых регулярно копируют и вставляют в AI-инструменты внутренний контекст, фрагменты кода, данные клиентов или результаты расследований, такое поведение представляет собой прямой канал утечки данных, действующий полностью вне традиционных корпоративных средств контроля безопасности.
Проблема не ограничивается только VPN-трафиком или зашифрованными сессиями.
Согласно выводам Koi Security, Urban VPN внедряет скрипты, которые активируются каждый раз, когда пользователи взаимодействуют с популярными AI-платформами, перехватывая как запросы, так и ответы, даже если функции VPN отключены.
Скрытые скрипты под маской «конфиденциальности»
Помимо предоставления VPN-сервиса, Urban VPN Proxy развернул «исполняющие» скрипты, которые активируются при открытии пользователем платформ для общения с ИИ, таких как ChatGPT, Claude, Gemini, Perplexity, Grok и других. «Каждая платформа имеет свой собственный скрипт: script-chatgpt.js, claude.js, gemini.js и так далее», — говорится в сообщении исследователей Koi в блоге по ссылке.
Эти скрипты перехватывают ключевые сетевые API браузера, чтобы перехватить все, что пользователь вводит и получает, упаковать это и отправить на серверы Urban VPN. Базовый код непрерывно отслеживает содержимое AI-диалогов и связанные с ними метаданные, загружая их независимо от использования VPN.
Исследователи отметили, что расширение для Chrome имеет высокие оценки и значок «Рекомендовано» от Google, что дает пользователям неявный сигнал доверия. «Значок от Google означает, что оно прошло ручную проверку и соответствует тому, что Google описывает как высокий стандарт пользовательского опыта и дизайна», — заявили они.
Google не ответила немедленно на запрос CSO о комментариях.
Варианты расширения как для Chrome, так и для Edge остаются доступными в Chrome Web Store и магазине Edge Add-ons соответственно.
В маркетинговых материалах Urban даже подчеркивается функция «AI-защиты», которая якобы проверяет запросы пользователей на наличие конфиденциальных данных. Однако Koi обнаружили, что эта защитная функция работает независимо от механизма слежения, извлекая все данные о взаимодействии с ИИ, независимо от желания пользователей.
Злоумышленники похитили чаты из 8 миллионов аккаунтов
Исследователи Koi выяснили, что Urban VPN управляется компанией Urban Cyber Security Inc., которая связана с BiScience (B.I Science Ltd), компанией-брокером данных.
«Эта компания и ранее привлекала внимание исследователей», — добавили исследователи. «Исследователи безопасности Владзимир Палант и Джон Такнер из Secure Annex ранее документировали практики сбора данных BiScience». Их исследование показало, что BiScience собирает повторно идентифицируемые данные кликстрима в больших масштабах и монетизирует их через свой SDK и продукты, такие как AdClarity и Clickstream OS.
Были перехвачены сотни миллионов AI-диалогов, объединенных из нескольких расширений от одного издателя, что охватывает общую базу пользователей, превышающую восемь миллионов человек.
Koi отметили, что функция AI-диалогов в Urban VPN была добавлена постепенно через обновления расширения, развиваясь от более ранней телеметрии просмотра до более широкого мониторинга взаимодействий с генеративным ИИ по мере того, как эти инструменты набирали популярность. Эти выводы перекликаются с более широкими предупреждениями о том, что браузерные AI-инструменты и расширения становятся неуправляемым слоем риска для предприятий и должны рассматриваться как часть поверхности атаки, а не просто удобные функции.
Автор – Shweta Sharma
