Security
#AI #ChatGPT

Δημοφιλές extension του Google Chrome browser υποκλέπτει τις συνομιλίες με τα AI εργαλεία

Yannis Elpidis
Yannis Elpidis
caption

Μια φαινομενικά αθώα και ιδιαίτερα δημοφιλής επέκταση του προγράμματος περιήγησης Google Chrome, την οποία εμπιστεύονται εκατομμύρια χρήστες παγκοσμίως, πιάστηκε «στα πράσα» να καταγράφει σιωπηλά κάθε λέξη που πληκτρολογούν οι χρήστες σε εργαλεία τεχνητής νοημοσύνης. Από το ChatGPT και το Gemini μέχρι το Claude και το Copilot, τίποτα δεν έμεινε κρυφό από τα ψηφιακά μάτια του Urban VPN Proxy.

Η αποκάλυψη έρχεται να επιβεβαιώσει τους χειρότερους φόβους των ειδικών κυβερνοασφάλειας: όταν ένα προϊόν διατίθεται δωρεάν, το πραγματικό αντίτιμο είναι συχνά τα προσωπικά μας δεδομένα. Στην προκειμένη περίπτωση, το νόμισμα της συναλλαγής ήταν οι πιο ιδιωτικές, επαγγελματικές ή και ευαίσθητες συνομιλίες μας με τα chatbots.

Το χρονικό της αποκάλυψης

Όλα ξεκίνησαν όταν ερευνητές της εταιρείας ασφαλείας Koi παρατήρησαν μια ανησυχητική αλλαγή στη συμπεριφορά του Urban VPN Proxy. Πρόκειται για μια υπηρεσία που υπόσχεται ανωνυμία στο διαδίκτυο και παράκαμψη γεωγραφικών περιορισμών, αριθμώντας πάνω από 6 εκατομμύρια εγκαταστάσεις στο Google Chrome Web Store και επιπλέον 1,3 εκατομμύρια στο Microsoft Edge Add-ons.

Σύμφωνα με την ανάλυση των ειδικών, η κρίσιμη αλλαγή συνέβη στις 9 Ιουλίου 2025. Με την κυκλοφορία της έκδοσης 5.5.0, η επέκταση έπαψε να είναι απλώς ένα εργαλείο απόκρυψης της IP διεύθυνσης. Αντ' αυτού, μετατράπηκε σε έναν αθόρυβο «ωτακουστή», ενεργοποιώντας από προεπιλογή τη συλλογή δεδομένων από τις αλληλεπιδράσεις των χρηστών με πλατφόρμες Generative AI.

Πώς λειτουργεί η υποκλοπή

Ο μηχανισμός που ενσωματώθηκε στο λογισμικό είναι σχεδιασμένος με τέτοιο τρόπο ώστε να «αγκαλιάζει» σχεδόν κάθε γνωστή πλατφόρμα τεχνητής νοημοσύνης. Η λίστα των στόχων περιλαμβάνει τους γίγαντες του χώρου:

  • ChatGPT (OpenAI)
  • Gemini (Google)
  • Claude (Anthropic)
  • Microsoft Copilot
  • Perplexity
  • DeepSeek
  • Grok
  • Meta AI

Κάθε φορά που ένας χρήστης έθετε ένα ερώτημα (prompt) σε κάποιο από αυτά τα εργαλεία, η επέκταση το κατέγραφε. Δεν σταματούσε όμως εκεί. Συνέλεγε επίσης τις απαντήσεις που έδινε το AI, δημιουργώντας ένα πλήρες αρχείο της συνομιλίας. Παράλληλα, αντλούσε μεταδεδομένα όπως χρονικές σημάνσεις (timestamps), αναγνωριστικά συνομιλίας (conversation IDs), πληροφορίες για το μοντέλο AI που χρησιμοποιήθηκε, καθώς και τεχνικές λεπτομέρειες της συνεδρίας.

Ο σκοπός πίσω από τη συλλογή δεδομένων

Γιατί όμως μια εταιρεία VPN να ενδιαφέρεται για το τι ρωτάτε το ChatGPT; Η απάντηση βρίσκεται στο επιχειρηματικό μοντέλο της «δωρεάν» υπηρεσίας. Η εταιρεία πίσω από την επέκταση, Urban Cyber Security, φαίνεται να διοχετεύει τα δεδομένα αυτά στην BIScience, μια συγγενική εταιρεία που ειδικεύεται στη «διαφημιστική ευφυΐα» (ad intelligence) και την παρακολούθηση brands.

Με απλά λόγια, οι ερωτήσεις και οι ανησυχίες που εκφράζετε στο AI μετατρέπονται σε πολύτιμα στατιστικά στοιχεία. Οι εταιρείες πληρώνουν αδρά για να κατανοήσουν τη συμπεριφορά των καταναλωτών, τις τάσεις της αγοράς και το πώς αλληλεπιδρούν οι χρήστες με τις νέες τεχνολογίες. Η ανάλυση αυτών των «anonymized» (ανώνυμων) δεδομένων βοηθά τις επιχειρήσεις να βελτιώσουν τη στοχευμένη διαφήμιση και να κατασκοπεύσουν τον ανταγωνισμό.

urban-vpn-proxy.jpg

Η παγίδα της πολιτικής απορρήτου

Το πιο ενδιαφέρον – και ίσως το πιο εξοργιστικό – στοιχείο της υπόθεσης είναι ότι η εταιρεία δεν κρύβει απολύτως την πρακτική της. Στην πολιτική απορρήτου της, την οποία ελάχιστοι χρήστες διαβάζουν πριν πατήσουν «Αποδοχή», αναφέρεται ρητά η συλλογή ανώνυμων δεδομένων και ο διαμοιρασμός τους με την BIScience.

Η Urban Cyber Security ισχυρίζεται ότι αφαιρεί κάθε στοιχείο που θα μπορούσε να ταυτοποιήσει άμεσα τον χρήστη (Personally Identifiable Information - PII) πριν επεξεργαστεί τα δεδομένα. Ωστόσο, στην ίδια πολιτική υπάρχει μια σημαντική προειδοποίηση: η εταιρεία τονίζει ότι, παρά τις προσπάθειές της, «δεν μπορεί να εγγυηθεί» ότι δεν θα διαρρεύσουν ευαίσθητες πληροφορίες.

Αυτό είναι ιδιαίτερα ανησυχητικό αν αναλογιστεί κανείς τη φύση των δεδομένων που μοιραζόμαστε με το AI. Συχνά, οι χρήστες εισάγουν εταιρικά μυστικά, ιατρικά δεδομένα ή προσωπικές εξομολογήσεις, θεωρώντας ότι η συνομιλία είναι ιδιωτική. Ακόμη και αν αφαιρεθεί το όνομα του χρήστη, το περιεχόμενο μιας εξειδικευμένης ερώτησης μπορεί εύκολα να «προδώσει» την ταυτότητα ή την εταιρεία που βρίσκεται από πίσω.

Τι σημαίνει αυτό για την ψηφιακή σας ασφάλεια

Η περίπτωση του Urban VPN Proxy αναδεικνύει έναν κίνδυνο που συχνά υποτιμούμε: τα extensions του browser έχουν τεράστια δύναμη. Για να λειτουργήσουν, ζητούν συχνά άδεια να «διαβάζουν και να τροποποιούν όλα τα δεδομένα στους ιστότοπους που επισκέπτεστε». Αυτή η άδεια είναι το κλειδί που τους επιτρέπει να βλέπουν τι γράφετε στο ChatGPT, στο e-mail σας ή ακόμα και στο e-banking σας.

Ειδικά στον εργασιακό χώρο, η χρήση τέτοιων επεκτάσεων μπορεί να αποτελέσει σοβαρό πλήγμα στην εταιρική ασφάλεια. Φανταστείτε έναν προγραμματιστή που ζητά από το Copilot να διορθώσει κώδικα της εταιρείας του, ή ένα στέλεχος που ζητά από το Claude να συνοψίσει μια εμπιστευτική αναφορά. Αν έχουν εγκατεστημένο το συγκεκριμένο VPN, αυτές οι πληροφορίες φεύγουν αμέσως από τον έλεγχό τους.

Τι πρέπει να κάνετε

Αν είστε ένας από τα εκατομμύρια των χρηστών που έχουν εγκαταστήσει το Urban VPN Proxy, η συμβουλή των ειδικών είναι ξεκάθαρη: απεγκαταστήστε το άμεσα.

Από εκεί και πέρα, το περιστατικό αυτό πρέπει να λειτουργήσει ως μάθημα για το μέλλον:

  1. Ελέγξτε τα Extensions σας: Πηγαίνετε στις ρυθμίσεις του Chrome ή του Edge και δείτε τι έχετε εγκαταστήσει. Αν δεν θυμάστε τι κάνει κάτι ή δεν το χρησιμοποιείτε, διαγράψτε το.
  2. Προσοχή στα «Δωρεάν» VPN: Η συντήρηση ενός δικτύου VPN κοστίζει ακριβά. Αν δεν πληρώνετε συνδρομή, το πιθανότερο είναι ότι πληρώνετε με τα δεδομένα σας.
  3. Διαβάστε τα Ψιλά Γράμματα: Όσο βαρετό κι αν είναι, μια γρήγορη ματιά στην πολιτική απορρήτου ή στις κριτικές άλλων χρηστών μπορεί να σας γλιτώσει από δυσάρεστες εκπλήξεις.
  4. Περιορίστε την Πρόσβαση: Σε πολλά extensions, μπορείτε να ρυθμίσετε να έχουν πρόσβαση μόνο σε συγκεκριμένα sites και όχι σε όλα ("On all sites").

Η τεχνητή νοημοσύνη έχει μπει για τα καλά στη ζωή μας, αλλά περιστατικά σαν αυτό μας υπενθυμίζουν ότι η προστασία της ιδιωτικότητάς μας απαιτεί συνεχή επαγρύπνηση.

googlenews

Ακολουθήστε το Techgear.gr στο Google News για να ενημερώνεστε άμεσα για όλα τα νέα άρθρα!

Διαβάστε επίσης

Loading