当用户满怀信任地安装带有 Google “精选” 徽章的浏览器扩展，期待获得更安全的上网体验时，一场大规模的隐私窃取正在后台静默上演。安全研究机构 Koi Security 近期披露的重磅调查显示，多款在 Chrome 和 Microsoft Edge 应用商店上架的扩展程序，通过隐蔽技术手段窃取超过 800 万用户在 ChatGPT、Gemini 等主流 AI 平台的完整聊天记录，而这些扩展凭借官方 “精选” 认证和 4.7 分的高评分，长期误导着普通用户。这场看似意外的安全事件，不仅揭开了浏览器扩展生态的信任危机，更暴露了 AI 时代个人隐私保护的薄弱环节。

一、“信任背书” 下的陷阱：官方认证扩展沦为窃密工具

在 Chrome 网上应用商店，“精选（Featured）” 徽章是平台对扩展程序质量、安全性和用户体验的官方认可，也是许多用户选择扩展的核心参考依据。然而此次涉事的核心产品 ——Urban VPN Proxy，正是带着这一 “信任光环”，在 Chrome 商店积累了超过 600 万用户，在 Microsoft Edge 插件市场也拥有 130 万安装量，累计收获 5.85 万条评价，表面上的高口碑让其隐蔽的恶意行为难以被察觉。

更令人震惊的是，这并非单个扩展的孤立行为。调查发现，同一开发商 Urban Cyber Security Inc. 推出的另外三款扩展 ——1ClickVPN Proxy、Urban Browser Guard、Urban Ad Blocker，均植入了相同的恶意代码，四款扩展总安装量突破 800 万大关。除 Edge 版本的 Urban Ad Blocker 外，其余三款均获得了 Google 或 Microsoft 的 “精选” 徽章，这些本应代表 “通过严格审核” 的标识，最终沦为误导用户的 “信任骗局”。

这些扩展的宣传话术极具迷惑性。Urban VPN Proxy 对外宣称 “最佳安全免费，可访问任何网站并解除内容封锁”，还专门突出 “AI 保护” 功能，声称能检测提示词中的个人数据和可疑链接，为用户提供安全预警。但讽刺的是，这项看似贴心的保护功能，实则成为掩盖数据窃取的幌子 —— 无论用户是否启用该功能，聊天记录的收集行为都在后台持续进行。

二、技术解密：无孔不入的窃密机制，用户毫无反抗之力

Koi Security 的技术分析报告揭示了这套窃密系统的完整链路，其隐蔽性和强制性让用户几乎没有防御空间。这些扩展的恶意行为并非临时植入，而是从 2025 年 7 月 9 日发布的 5.5.0 版本起便已内置，意味着长达半年多时间里，用户的 AI 对话都可能已被窃取。

（一）脚本注入：拦截全量交互数据

扩展程序会针对 ChatGPT、Claude、Gemini、Microsoft Copilot 等至少十个主流 AI 平台，预先定制专属的 JavaScript 执行脚本。当用户访问这些 AI 平台时，扩展会自动向网页注入脚本，通过重写浏览器核心的 fetch () 和 XMLHttpRequest () 网络请求 API，将所有用户与 AI 的交互流量拦截。这种技术手段相当于在浏览器中搭建了 “秘密监控站”，无论是用户输入的每一条提示词，还是 AI 返回的完整响应内容，都会被完整捕获。

（二）强制收集：默认启用且无法关闭

与常规数据收集功能不同，该窃密模块通过硬编码设置默认启用，且在扩展的设置界面中未提供任何关闭选项。研究人员发现，即便用户不开启 VPN 功能、仅将扩展闲置在浏览器中，数据收集仍会持续运行；更关键的是，扩展的自动更新机制让用户在不知情的情况下被强制安装带有恶意代码的版本，彻底丧失了选择权。唯一能终止窃密行为的方式，只有彻底卸载相关扩展。

（三）数据传输：多维度信息打包外泄

被拦截的数据经过解析后，会形成包含多重敏感信息的数据包，其中不仅包括完整的对话内容，还涵盖会话 ID、时间戳、使用的 AI 平台及模型类型等元数据。这些信息被压缩处理后，会通过加密通道传输至 Urban VPN 旗下的analytics.urban-vpn.com等远程服务器，完成集中存储与后续处理。

三、利益链条：从隐私数据到营销商品的黑色流转

这场大规模数据窃取背后，是一条清晰的商业利益链条。调查显示，涉事开发商 Urban Cyber Security Inc. 与数据经纪公司 BiScience 存在深度关联，而 BiScience 恰好是 Urban Cyber Security Inc. 的母公司，这层关系为数据的非法流转提供了便利。

根据 Urban VPN 在 2025 年 6 月 25 日更新的隐私政策，其声称收集 AI 数据是为了 “增强安全浏览功能和营销分析”，且会对数据进行 “去标识化和匿名化处理”。但实际情况却与声明严重不符 ——BiScience 在今年 1 月就曾被曝光，通过误导性隐私政策收集用户浏览历史，并将原始数据用于生成商业分析报告，出售给下游广告商和营销机构。

安全研究人员 Idan Dardikman 一针见血地指出了其中的矛盾：“扩展会警告你不要向 ChatGPT 分享邮箱，却同时将整个对话内容外泄给数据中介。” 用户在 AI 聊天中往往会分享高度敏感的信息，包括个人身份信息、财务咨询、健康问题、情感困惑等，这些数据一旦流入黑市或被滥用，可能导致精准诈骗、隐私泄露等一系列严重后果。更值得警惕的是，BiScience 还通过提供软件开发工具包（SDK），向其他第三方扩展开发者扩散数据收集技术，可能形成更大范围的窃密网络。

四、信任危机：应用商店审核机制为何失效？

此次事件最引人深思的问题是，带有官方 “精选” 认证的扩展，为何能绕过平台审核植入恶意代码？Chrome Web Store 的 “精选” 徽章明确要求扩展需遵循平台最佳实践、满足高标准的用户体验和安全要求，且需经过人工审核。但显然，这一审核机制在实际执行中出现了严重漏洞。

研究人员分析认为，不良开发者可能利用了应用商店政策中的 “有限使用” 例外条款，通过虚假声明掩盖数据收集的真实目的。在扩展提交审核时，可能隐藏了核心窃密代码，或通过后续自动更新的方式植入恶意功能，从而规避初始审核。这种 “先合规后作恶” 的模式，让平台的事前审核难以发挥作用。

更值得关注的是，浏览器扩展的权限管理体系存在天然缺陷。为实现 VPN、广告拦截等核心功能，这类扩展通常需要获取 “读取和更改网站数据” 的高级权限，而用户在安装时往往不会仔细查看权限说明，或因信任官方认证而直接授权。这一权限成为恶意扩展的 “万能钥匙”，使其能够自由访问和收集用户在各类网站上的交互数据，且难以被普通用户察觉。

对于 Google 和 Microsoft 而言，此次事件暴露了其对扩展生态后续监管的缺失。扩展上架后的版本更新审核、用户投诉处理、恶意行为监测等环节存在明显短板，导致恶意扩展能够长期存在并持续窃取数据，直至被第三方安全机构曝光。

五、用户应对与行业反思：AI 时代如何守护隐私边界？

截至目前，涉事扩展仍未被应用商店强制下架，数百万用户的隐私风险依然存在。安全专家紧急呼吁，已安装 Urban VPN Proxy、1ClickVPN Proxy、Urban Browser Guard、Urban Ad Blocker 等涉事扩展的用户，应立即卸载相关程序，并默认视为自己在 AI 平台的所有聊天记录已遭泄露。同时，用户还需采取以下防护措施：

1. 梳理浏览器扩展列表，卸载不常用或来源不明的扩展，尤其警惕那些声称 “隐私保护” 却要求过高权限的工具；
2. 在安装扩展时，仔细查看权限说明和用户评价，优先选择知名度高、信誉良好的开发商产品，避免盲目信任 “精选” 徽章；
3. 定期清理 AI 聊天记录中的敏感信息，避免在对话中透露身份证号、银行卡信息、家庭住址等核心隐私；
4. 开启浏览器的扩展更新提醒，仔细阅读版本更新说明，发现可疑更新时暂时关闭自动更新功能。

此次事件也为整个行业敲响了警钟。对于浏览器平台方而言，亟需建立更严格的扩展审核机制，包括上架前的代码深度审计、版本更新的差异化审核、基于用户行为的异常监测等，同时简化用户权限管理流程，让用户能够更精准地控制扩展权限。对于监管机构，应加快完善浏览器扩展领域的隐私保护法规，明确数据收集的边界和责任划分，加大对恶意收集数据行为的处罚力度。

在 AI 技术飞速发展的今天，用户与 AI 的交互日益频繁，聊天记录已成为承载个人隐私的重要载体。这场涉及 800 万用户的隐私泄露事件，再次证明隐私保护永远是技术发展的前提。当 “官方认证” 沦为恶意行为的保护伞，当 “隐私工具” 变成窃密利器，不仅会侵蚀用户的信任，更会阻碍数字经济的健康发展。唯有平台、监管、企业和用户形成合力，才能筑牢隐私保护的防线，让技术真正服务于人类，而非成为侵犯权益的工具。