Hotdry.
归档
ai-security

Urban VPN扩展程序窃取AI对话数据的技术分析

深入分析Urban VPN等浏览器扩展程序如何通过脚本注入和API劫持技术窃取800万用户的AI对话数据,揭示数据流向与防护策略。

2025 年 12 月,安全研究公司 Koi 披露了一个令人震惊的发现:多个标榜 "隐私保护" 的浏览器扩展程序,包括拥有 600 万用户的 Urban VPN Proxy,正在系统性地窃取用户的 AI 对话数据。这些扩展程序不仅获得了 Google Chrome 和 Microsoft Edge 的 "Featured" 徽章,还通过自动更新机制在用户不知情的情况下添加了数据窃取功能。本文将从技术角度深入分析这一事件,揭示数据窃取的实现机制、数据流向以及防护策略。

事件背景与规模

此次事件涉及 8 个不同的浏览器扩展程序,包括 Urban VPN Proxy、1ClickVPN Proxy、Urban Browser Guard 和 Urban Ad Blocker 等。这些扩展程序在 Chrome 和 Edge 商店中累计拥有超过 800 万用户,其中 Urban VPN Proxy 单独就有 600 万用户。

最令人担忧的是,所有这些扩展程序都获得了平台的 "Featured" 徽章。根据 Google 的官方说明,获得此徽章的扩展程序需要 "遵循技术最佳实践并满足高标准的用户体验和设计",且必须经过人工审核。然而,这些扩展程序却在审核通过后,通过版本更新植入了数据窃取功能。

数据窃取功能于 2025 年 7 月 9 日通过版本 5.5.0 的更新被默认启用。由于浏览器扩展程序默认开启自动更新,用户在不知情的情况下就成为了数据窃取的受害者。正如 Koi 研究人员 Idan Dardikman 所说:"用户为了 VPN 功能安装了 Urban VPN,却在某天醒来后发现新代码正在静默地收集他们的 AI 对话。"

技术实现机制分析

1. 目标平台识别与脚本注入

扩展程序首先监控用户的浏览器标签页活动。当检测到用户访问以下 10 个 AI 平台中的任何一个时,就会触发相应的数据收集机制:

  • ChatGPT
  • Claude
  • Gemini
  • Microsoft Copilot
  • Perplexity
  • DeepSeek
  • Grok (xAI)
  • Meta AI

针对每个平台,扩展程序都准备了专门的 "执行器" 脚本:chatgpt.js、claude.js、gemini.js 等。这些脚本通过内容脚本 (content script) 注入到目标网页中,开始执行数据收集任务。

2. API 劫持技术

一旦脚本成功注入,就会采用一种激进的监控技术:覆盖浏览器的原生网络请求 API。具体来说,脚本会重写fetch()XMLHttpRequest这两个核心 API。

// 伪代码示例:API劫持机制
const originalFetch = window.fetch;
window.fetch = function(...args) {
    // 拦截请求
    const requestData = analyzeRequest(args);
    
    // 调用原始fetch
    return originalFetch.apply(this, args).then(response => {
        // 拦截响应
        const responseData = analyzeResponse(response);
        
        // 提取对话数据
        if (isAIConversation(requestData, responseData)) {
            extractConversationData(requestData, responseData);
        }
        
        return response;
    });
};

这种技术确保每个网络请求和响应在到达浏览器渲染引擎之前,都会先经过扩展程序的代码处理。当用户向 ChatGPT 发送提示或接收 Claude 的回复时,扩展程序能够看到原始的 API 流量。

3. 数据解析与封装

注入的脚本会解析拦截到的 API 响应,提取以下关键信息:

  • 用户发送的每个提示 (prompt)
  • AI 生成的每个回复 (response)
  • 对话标识符和时间戳
  • 会话元数据
  • 使用的 AI 平台和模型信息

提取的数据通过window.postMessageAPI 发送到扩展程序的内容脚本,使用特定的标识符PANELOS_MESSAGE进行标记。

4. 数据外传机制

内容脚本接收到数据后,会将其转发到扩展程序的背景服务工作者 (background service worker)。服务工作者负责实际的数据外传工作:

  1. 数据压缩:对话数据被压缩以减少传输体积
  2. 端点传输:数据发送到以下远程服务器:
    • analytics.urban-vpn.com
    • stats.urban-vpn.com
  3. 批处理:数据可能被批量发送以优化网络使用

数据流向与商业模式

数据收集链条

收集到的 AI 对话数据沿着以下链条流动:

  1. 用户设备:扩展程序在本地收集数据
  2. Urban VPN 服务器:数据发送到 analytics.urban-vpn.com 等端点
  3. BiScience 数据代理:Urban Cyber Security Inc. 的关联公司
  4. 商业合作伙伴:包括广告平台、市场分析公司等

商业模式分析

BiScience 是一家数据代理公司,专门从事用户行为数据的收集、分析和销售。该公司此前已被安全研究人员曝光收集用户的浏览历史(点击流数据)。此次 AI 对话数据的收集代表了其业务范围的扩展。

根据 Urban VPN 的隐私政策,数据收集的目的是 "营销分析"。政策中明确写道:"我们共享网络浏览数据给我们的关联公司...BiScience 使用这些原始数据创建洞察,这些洞察被商业使用并与商业合作伙伴共享。"

政策漏洞利用

BiScience 及其合作伙伴利用了 Chrome Web Store 政策中的漏洞。具体来说,他们利用了 "有限使用政策" 中列出的例外情况,即 "提供或改进单一目的所必需" 的例外。

扩展程序开发者创建了需要访问浏览历史记录的用户界面功能,以此声称符合 "提供单一目的所必需" 的例外条件。然而,这些功能实际上是为数据收集提供掩护。

技术检测与防护策略

1. 扩展程序检测清单

用户可以通过以下方式检测可疑的浏览器扩展程序:

检查已安装的扩展程序 ID:

  • Urban VPN Proxy: eppiocemhmnlbhjplcgkofciiegomcon
  • Urban Browser Guard: almalgbpmcfpdaopimbdchdliminoign
  • Urban Ad Blocker: feflcgofneboehfdeebcfglbodaceghj
  • 1ClickVPN Proxy: pphgdbgldlmicfdkhondlafkiomnelnk

监控扩展程序行为:

  • 使用浏览器开发者工具检查网络请求
  • 监控扩展程序是否向可疑域名发送数据
  • 检查扩展程序是否注入不必要的脚本

2. 技术防护措施

企业级防护策略:

  1. 扩展程序白名单:仅允许安装经过严格审查的扩展程序
  2. 网络监控:监控所有出站流量,特别是到*.urban-vpn.com的请求
  3. 行为分析:使用安全工具监控扩展程序的异常行为
  4. 自动更新控制:禁用或严格控制扩展程序的自动更新

个人用户防护建议:

  1. 立即卸载:如果安装了任何涉及的扩展程序,立即卸载
  2. 审查权限:定期审查扩展程序的权限设置
  3. 禁用自动更新:对于关键扩展程序,考虑禁用自动更新
  4. 使用隐私模式:在 AI 对话时使用浏览器的隐私 / 隐身模式
  5. 检查隐私政策:安装前仔细阅读扩展程序的隐私政策

3. 开发者检测工具

安全团队可以使用以下工具检测类似威胁:

  1. 静态代码分析:检查扩展程序代码中的可疑 API 调用
  2. 动态行为监控:在沙箱环境中运行扩展程序并监控其行为
  3. 网络流量分析:分析扩展程序产生的网络流量模式
  4. 权限滥用检测:检查扩展程序是否超出其声明的权限范围

平台责任与监管挑战

应用商店审核机制的失效

此次事件暴露了浏览器扩展程序商店审核机制的严重缺陷:

  1. 人工审核的局限性:即使经过人工审核,恶意代码仍能通过更新机制引入
  2. 徽章系统的滥用:"Featured" 徽章被恶意行为者用作信任背书
  3. 政策执行的滞后:违规行为被发现后,扩展程序仍能在商店中保留数周

监管建议

针对此类威胁,需要多层次的监管和技术改进:

平台层面:

  1. 加强更新审核:对扩展程序的主要更新进行重新审核
  2. 实时监控:建立扩展程序行为的实时监控系统
  3. 透明度要求:强制扩展程序明确披露数据收集行为

监管层面:

  1. 数据分类保护:将 AI 对话数据归类为高度敏感数据
  2. 同意要求:要求对敏感数据收集获得明确、具体的同意
  3. 违规处罚:对违反隐私政策的扩展程序实施严厉处罚

技术趋势与未来展望

AI 对话数据的安全价值

随着 AI 助手在日常生活中的普及,AI 对话数据的安全价值日益凸显。这些数据不仅包含个人信息,还可能包含:

  • 商业机密:代码片段、商业策略讨论
  • 个人隐私:健康问题、财务咨询、情感倾诉
  • 身份信息:通过对话模式可能推断出的用户身份

扩展程序安全的新挑战

此次事件标志着浏览器扩展程序安全面临的新挑战:

  1. 信任模型的崩溃:传统基于应用商店审核的信任模型已不再可靠
  2. 动态威胁的兴起:通过更新引入的恶意功能成为新的攻击向量
  3. 数据商品化的风险:用户数据成为可交易的商品,激励了更多恶意行为

技术防御的发展方向

未来需要发展的技术防御方向包括:

  1. 零信任扩展程序架构:默认不信任扩展程序,需要持续验证
  2. 细粒度权限控制:更精细的权限管理系统,限制扩展程序的能力
  3. 行为基线分析:建立正常行为基线,检测异常活动
  4. 去中心化验证:通过社区验证和声誉系统补充中心化审核

结论

Urban VPN 扩展程序数据窃取事件不仅是一次严重的安全事件,更是对整个浏览器扩展程序生态系统信任基础的挑战。通过技术分析我们可以看到,恶意行为者正在利用复杂的脚本注入和 API 劫持技术,系统性地收集和销售用户的敏感 AI 对话数据。

对于用户而言,需要重新审视对浏览器扩展程序的信任,采取更谨慎的安装和使用策略。对于企业和安全团队,需要建立更严格的扩展程序管理政策和监控机制。对于平台提供商,需要从根本上改进审核和监控系统,防止类似事件再次发生。

在 AI 助手日益普及的今天,保护 AI 对话数据的隐私和安全已成为不容忽视的重要课题。只有通过技术、政策和用户教育的多管齐下,才能构建一个更安全的数字环境。

资料来源:

查看归档