Браузерные расширения могут собирать диалоги пользователей с ИИ ради рекламы

По сообщению Ars Technica, восьмимиллионная армия пользователей популярных браузерных расширений, включая VPN и блокировщики рекламы, даже не подозревает, что их самые откровенные разговоры с ChatGPT, Claude и другими ИИ-ассистентами превращаются в товар для маркетологов. Ирония в том, что инструменты, обещающие «защиту ИИ», оказались его главными эксплоататорами.

Технический механизм утечки

Специалисты компании Koi обнаружили восемь расширений, которые на момент публикации новости все еще доступны в официальных магазинах Google Chrome и Microsoft Edge. Семь из них отмечены значком «Featured» — официальным одобрением платформ, якобы гарантирующим качество и безопасность.

Анализ кода показал, что каждое расширение содержит восемь специальных «исполнительных» скриптов, настроенных на конкретные ИИ-платформы: ChatGPT, Claude, Gemini, Copilot, Perplexity, DeepSeek, Grok и Meta AI. Эти скрипты внедряются на страницы при их посещении и перехватывают браузерные API-вызовы, в частности fetch() и HttpRequest.

В результате весь трафик между пользователем и ИИ-ботом проходит через серверы разработчика расширений. Собирается полная копия диалога в сыром виде, включая:

• Каждый отправленный промпт
• Каждый полученный ответ ИИ
• Идентификаторы и временные метки диалогов
• Метаданные сессии
• Название используемой платформы и модели

Важный нюанс: сбор данных происходит независимо от основной функции расширения (VPN, блокировка рекламы). Даже если пользователь отключает эти функции в настройках плагина, скрипт по перехвату диалогов продолжает работать. Остановить его можно только полным отключением или удалением расширения.

Это классическая схема монетизации бесплатного продукта, доведенная до абсурда. Пользователи устанавливают VPN для приватности, а получают инструмент тотальной слежки за своими самыми личными разговорами. Особенно цинично выглядит маркетинговая уловка с «AI protection» — будто бы расширение защищает от ИИ, а на деле оно его же и эксплуатирует. Такая двойственность ставит под сомнение всю систему проверок в официальных магазинах приложений.

Масштаб проблемы и вовлеченные расширения

Первым расширением, в котором обнаружили сбор данных, стал Urban VPN Proxy. Функциональность по сбору диалогов была добавлена в версии 5.5.0, выпущенной 9 июля 2025 года. Это означает, что все пользователи, общавшиеся с ИИ через этот VPN после указанной даты, потенциально подверглись утечке конфиденциальных данных.

Вслед за этим были обнаружены еще семь расширов с идентичным функционалом. Все они принадлежат компании Urban Cyber Security, которая заявляет об аудитории в 100 миллионов пользователей. Общее число установок восьми проблемных расширений превышает 8 миллионов.

Вот полный список, разбитый по магазинам:

Chrome Web Store

• Urban VPN Proxy: 6 миллионов пользователей
• 1ClickVPN Proxy: 600 000 пользователей
• Urban Browser Guard: 40 000 пользователей
• Urban Ad Blocker: 10 000 пользователей

Microsoft Edge Add-ons

• Urban VPN Proxy: 1,32 миллиона пользователей
• 1ClickVPN Proxy: 36 459 пользователей
• Urban Browser Guard: 12 624 пользователей
• Urban Ad Blocker: 6 476 пользователей

Конфликтующие заявления и реальная политика конфиденциальности

На страницах расширений в магазинах представлены противоречивые сообщения о работе с данными. Например, Urban VPN Proxy рекламирует «AI protection» как преимущество, описывая его как проверку промптов на наличие личных данных и ссылок.

Однако в разделе политики конфиденциальности Google утверждает, что разработчик заявил: пользовательские данные не продаются третьим лицам за пределами разрешенных случаев использования и не будут «использоваться или передаваться для целей, не связанных с основной функциональностью продукта». При этом в списке обрабатываемых данных указаны местоположение, история веб-серфинга и содержимое веб-страниц.

Во время установки расширения показывают окно согласия, где уведомляют о обработке «ChatAI communication», «посещаемых страниц» и «сигналов безопасности». Утверждается, что данные обрабатываются для «обеспечения этих защитных функций», что, по-видимому, относится к VPN или блокировке рекламы.

Единственное явное упоминание о сборе диалогов с ИИ спрятано в юридических формулировках политики конфиденциальности, например, в 6000-словном документе для Urban VPN Proxy. Там говорится, что расширение будет «собирать промпты и ответы, запрошенные конечным пользователем или сгенерированные провайдером ИИ-чата». Далее уточняется, что разработчик будет «раскрывать ИИ-промпты для целей маркетинговой аналитики».

Политики конфиденциальности указывают, что данные «Веб-серфинга» передаются «нашей аффилированной компании», которой являются как BiScience, так и B.I Science. Эта компания «использует эти сырые данные и создает инсайты, которые коммерчески используются и передаются деловым партнерам». Политика отсылает пользователей к политике конфиденциальности BiScience, компании, чьи практики сбора данных уже подвергались критике ранее.

Остается загадкой, как Google и Microsoft допустили такие расширения на свои платформы и даже присвоили семи из них статус «Featured». На момент публикации новости представители компаний не предоставили внятных комментариев о критериях отбора или планах по удалению расширений.

Сообщения, отправленные отдельным разработчикам расширений и Urban Cyber Security, остались без ответа. BiScience не предоставляет публичного email для связи.

Это открытие — очередное напоминание о том, что бесплатные расширения часто оказываются троянским конем, а обещания приватности в цифровую эпоху требуют крайне скептического подхода. Особенно когда речь идет о разговорах с ИИ, которые могут содержать самые сокровенные детали личной и профессиональной жизни.