Eksperci ds. cyberbezpieczeństwa alarmują, że część popularnych rozszerzeń przeglądarkowych może w tajemnicy rejestrować rozmowy użytkowników z chatbotami AI, a następnie przekazywać je na zewnętrzne serwery.
W centrum kontrowersji znalazło się Urban VPN Proxy, rozszerzenie dostępne m.in. w Google Chrome i Microsoft Edge. Sprawa jest o tyle wrażliwa, że dotyczy danych, które wiele osób traktuje jak prywatne notatki, np. pytań zadawanych modelom AI, opisów problemów w pracy, fragmentów kodu, informacji o projektach czy danych osobowych wklejanych do okna czatu.
Źródłem ostrzeżenia jest raport firmy KOI, izraelskiego podmiotu zajmującego się ochroną przed atakami opartymi na rozszerzeniach przeglądarkowych. KOI twierdzi, że Urban VPN Proxy został zaktualizowany w lipcu 2025 r. w sposób, który dodał możliwość przechwytywania treści konwersacji na popularnych platformach AI. Wskazywana lista obejmuje m.in. ChatGPT, Claude, Gemini, Microsoft Copilot, Perplexity, DeepSeek, Grok oraz Meta AI.
Mechanizm opisany w raporcie ma działać w sposób typowy dla nadużyć na poziomie rozszerzeń. Czyli? Po wejściu użytkownika na stronę wybranej usługi AI, rozszerzenie ma wstrzykiwać do witryny specjalny skrypt „wykonawczy”.
Według autorów raportu skrypt działa tak, że „każde żądanie i odpowiedź sieciowa” na takiej stronie ma najpierw przechodzić przez kod rozszerzenia. W praktyce oznaczałoby to, że rozszerzenie może zobaczyć zarówno treść wiadomości wysyłanych przez użytkownika, jak i odpowiedzi generowane przez samą platformę. Zebrane dane mają być następnie przesyłane na zewnętrzne serwery należące do infrastruktury powiązanej z rozszerzeniem.
Uwaga na bezpłatne wtyczki
KOI zaznacza, że Urban VPN Proxy nie był jedynym produktem z takim mechanizmem. Według firmy podobny kod ma występować w kilku rozszerzeniach pochodzących od tego samego podmiotu: Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard i Urban Ad Blocker.
Raport przytacza również skalę instalacji. W samym Chrome Urban VPN Proxy ma mieć około 6 mln użytkowników, 1ClickVPN Proxy około 600 tys., Urban Browser Guard około 40 tys., a Urban Ad Blocker około 10 tys.; w Microsoft Edge Urban VPN Proxy ma mieć ponad 1,3 mln instalacji, a pozostałe rozszerzenia dziesiątki tysięcy. Łącznie KOI szacuje, że te dodatki mogło zainstalować ponad 8 mln osób.
Wątek, który podgrzewa dyskusję, dotyczy potencjalnego komercyjnego wykorzystania przechwyconych treści. KOI przyznaje, że nie ma dowodów, które jednoznacznie pokazywałyby, co dokładnie dzieje się z zapisanymi rozmowami oraz komu są sprzedawane lub udostępniane. Jednocześnie w materiale przywołano zapisy polityki prywatności Urban VPN, w których ma się pojawiać deklaracja, że firma będzie zbierać „prompty i wyniki” zapytań zadawanych przez użytkownika lub generowanych przez dostawcę AI, a także że takie prompty mogą być ujawniane „w celach analityki marketingowej”. Taki zapis, nawet jeśli ujęty formalnym językiem, może dla wielu użytkowników brzmieć jak przyznanie, że treść rozmów z chatbotami nie jest traktowana wyłącznie jako prywatna.
Czytaj też: Plany, które działają. Jak szkolić zespoły biznesowe na wypadek incydentu
Rekomendacje ekspertów
Autorzy raportu KOI sformułowali też bardzo konkretną rekomendację: odinstalowanie wskazanych rozszerzeń i założenie, że rozmowy z chatbotami prowadzone od lipca 2025 r. mogły zostać przechwycone i udostępnione podmiotom trzecim.
To ostrzeżenie jest istotne również dlatego, że rozmowy z AI często zawierają informacje, których użytkownicy nie umieściliby publicznie: dane klientów, fragmenty umów, treści wewnętrznych maili, szczegóły strategii biznesowych, a czasem nawet hasła czy tokeny, gdy ktoś w pośpiechu wklei „na chwilę” coś do analizy.
Urban VPN nie pozostawił sprawy bez odpowiedzi. 18 grudnia firma opublikowała wpis „Setting the Record Straight: How Urban VPN’s AI Protection Feature Actually Works”, w którym stwierdziła, że „kilka szeroko powielanych twierdzeń nie jest prawdziwych”. Kluczowa linia obrony brzmi następująco: rozmowy z chatbotami mają być przetwarzane tylko wtedy, gdy użytkownik wyraźnie włączy funkcję o nazwie AI Protection. Innymi słowy, według Urban VPN nie ma mowy o „cichym” zbieraniu danych u wszystkich, a jedynie o działaniu w ramach dobrowolnego mechanizmu ochronnego.
Jednocześnie stanowisko firmy nie zamyka wszystkich pytań. Urban VPN podkreśla, że nie zbiera „surowych danych osobowych ani wrażliwych” z rozmów, ponieważ treść ma być filtrowana wielokrotnie i pozbawiana elementów umożliwiających identyfikację lub ujawniających wrażliwe informacje. Firma nie zaprzecza jednak, że jej rozwiązanie celuje w konkretne platformy AI ani że przetworzona treść może trafiać do jej klientów. Zapowiada też, że przejrzy język w interfejsie i opisy funkcji, aby ograniczyć nieporozumienia, a komunikaty o zgodzie uczynić bardziej jednoznacznymi.
Z perspektywy użytkownika spór sprowadza się do kilku praktycznych wniosków.
- Rozszerzenia mają bardzo szerokie uprawnienia, a ich działanie bywa niewidoczne. VPN w formie dodatku do przeglądarki może brzmieć jak niewinne narzędzie, ale technicznie taki dodatek może wpływać na ruch sieciowy w obrębie stron, które odwiedzasz, i w skrajnym przypadku przechwytywać dane formularzy, treści stron oraz komunikację z usługami online.
- Nawet jeśli mechanizm działa „po zgodzie”, kluczowe jest to, czy zgoda była świadoma, jasno zakomunikowana i czy użytkownik rozumiał jej konsekwencje.
- W świecie AI treść promptów często ma wartość biznesową, bo ujawnia intencje, plany, problemy i kontekst pracy użytkowników. To sprawia, że rynek na takie dane może istnieć niezależnie od tego, czy są one sprzedawane wprost, czy wykorzystywane do analityki i profilowania.
Jeśli ktoś korzystał z podejrzewanych rozszerzeń, najbardziej rozsądne jest potraktowanie tej historii jak potencjalnego incydentu prywatności. W praktyce oznacza to usunięcie dodatku, przejrzenie pozostałych rozszerzeń w przeglądarce i ograniczenie ich do absolutnie niezbędnych, a także przyjęcie zasady, że do okna czatu z AI nie wkleja się danych, których ujawnienie mogłoby zaszkodzić.
Warto też pamiętać o prostym nawyku. Jeśli AI ma pomóc w analizie dokumentu lub fragmentu kodu, lepiej podać opis problemu i zanonimizowane fragmenty niż całe, identyfikowalne treści. Ta sprawa przypomina bowiem, że w cyberbezpieczeństwie najsłabszym ogniwem bywa „mały dodatek”, który obiecuje wygodę, a w tle może zmieniać zasady gry o prywatność.
