2025年12月的Chrome扩展程序泄露事件
在2025年12月,OX Security的安全研究人员发现了一个令人不安的事实:两个Chrome扩展程序悄悄地窃取了超过90万用户的AI聊天记录。
其中一个扩展程序获得了谷歌的“推荐”徽章——这个徽章本应代表可信度。
攻击是如何进行的
这些恶意扩展程序以毁灭性的简单性运作:
第一步:合法外观
这些扩展程序提供了有用的功能——生产力工具和用户界面增强功能。它们积累了数十万用户和积极的评价。
第二步:静默数据收集
一旦安装,这些扩展程序就会监控浏览器活动。当用户访问ChatGPT、Claude或其他AI服务时,这些扩展程序:
- 实时拦截所有聊天消息
- 将数据本地存储在受害者的机器上
- 将对话批次外泄到指挥和控制服务器
第三步:定时外泄
为了避免被检测,这些扩展程序每30分钟批量传输被窃取的数据——速度足够慢以避免触发安全警报,但又足够快以捕获所有内容。
Urban VPN事件
Chrome扩展程序泄露事件并非孤立。Koi Security的另一项调查发现,自2025年7月以来,下载量超过800万的“免费VPN”扩展程序一直在收集AI对话。
| 事件 | 受影响用户 | 发现时间 |
|---|---|---|
| 恶意AI扩展 | 90万+ | 2025年12月 |
| Urban VPN扩展 | 800万+ | 2025年11月 |
| 总计曝光 | 890万+ | — |
被窃取的数据是什么?
AI聊天记录包含用户分享的一些最敏感的信息:
- 调试时粘贴的源代码
- 用于支持查询的客户数据
- AI分析的财务信息
- 为审查总结的法律文件
- 为洞察处理的医疗信息
- 与AI讨论的内部商业策略
与可以更改的密码(可以更改)或可以取消的信用卡(可以取消)不同,泄露的商业对话和源代码无法被“撤回”。
为什么谷歌的“推荐”徽章失效
谷歌的推荐徽章本应指示质量和安全。要求包括:
- 遵循Chrome Web商店政策
- 隐私实践披露
- 无政策违规
但验证过程存在根本缺陷:它在提交时检查代码,而不是持续检查。攻击者提交干净的代码,获得徽章,然后推送恶意更新。
真正的问题:仅限本地处理
根本问题不仅仅是恶意扩展程序——而是敏感数据根本就不应该到达AI服务。
当你将客户信息粘贴到ChatGPT时:
- 它通过你的浏览器传输
- 任何扩展程序都可以拦截它
- 它存储在OpenAI的服务器上
- 它可能会被用于训练(取决于设置)
即使没有恶意扩展程序,你也在信任每个可以访问你浏览器的扩展程序,以及AI提供商的安全性和政策。
解决方案:在提交前进行匿名化
保护敏感数据的唯一方法是在它离开你的控制之前去除个人身份信息。
anonym.legal Chrome扩展程序
我们的Chrome扩展程序与恶意扩展程序的工作方式不同:
| 特性 | 恶意扩展程序 | anonym.legal |
|---|---|---|
| 数据访问 | 拦截所有内容 | 仅在激活时 |
| 处理 | 发送到远程服务器 | 仅本地处理 |
| 目的 | 数据窃取 | 数据保护 |
| 开源 | 否 | 即将推出 |
工作原理:
- 你输入或粘贴包含个人身份信息的文本
- 扩展程序在本地检测到敏感数据
- 个人身份信息被替换为标记:“John Smith” → “[PERSON_1]”
- 匿名化文本被发送到AI
- AI的响应为你去匿名化
保护的内容:
- 姓名、电子邮件地址、电话号码
- 信用卡号码、银行账户
- 社会安全号码、护照号码、驾驶执照
- 医疗记录号码、患者ID
- 以及250多种其他实体类型
验证你的扩展程序
立即检查你安装的扩展程序:
Chrome
- 导航到
chrome://extensions/ - 审查每个扩展程序的权限
- 检查最后更新时间
- 搜索扩展程序名称 + “恶意软件”或“安全”
警示信号
- 请求广泛权限的扩展程序(“读取和更改你在所有网站上的所有数据”)
- 没有其他扩展程序的未知开发者
- 几个月未更新的扩展程序
- 评价异常高且评论通用的扩展程序
结论
90万用户的泄露事件证明,浏览器扩展程序是一个关键的安全盲点。即使是谷歌的验证过程也可以被绕过。
最安全的方法是假设每个扩展程序都可能被攻破,并在源头保护数据——在数据到达AI服务之前。
开始保护你的AI对话:
来源: