یک افزونه مرورگر Google Chrome با نشان Featured و بیش از ۶ میلیون کاربر فعال، بهصورت مخفیانه تمام مکالمات کاربران با چتباتهای هوش مصنوعی را جمعآوری و به سرورهای خارجی ارسال میکرد.
این افزونه که Urban VPN Proxy نام دارد، مکالمات کاربران با پلتفرمهایی مانند:
OpenAI ChatGPT
Anthropic Claude
Microsoft Copilot
Google Gemini
DeepSeek
xAI Grok
Meta AI
Perplexity
را بدون اطلاع شفاف کاربر رهگیری میکرد.
Urban VPN؛ VPN رایگان با پشتصحنهای تاریک
Urban VPN Proxy با امتیاز ۴.۷ از ۵ در Chrome Web Store و حدود ۱.۳ میلیون نصب در Microsoft Edge Add-ons عرضه شده و توسط شرکتی مستقر در ایالت دلاور آمریکا با نام Urban Cyber Security Inc توسعه داده شده است.
این افزونه خود را بهعنوان «بهترین VPN رایگان و امن برای حفاظت از هویت آنلاین» معرفی میکند، اما بررسیها نشان میدهد:
🔻 در ۹ ژوئیه ۲۰۲۵ و با انتشار نسخه 5.5.0
🔻 قابلیت جمعآوری دادههای AI بهصورت پیشفرض فعال به افزونه اضافه شده است
چگونه مکالمات AI سرقت میشد؟
این افزونه با تزریق اسکریپتهای JavaScript اختصاصی برای هر پلتفرم AI (مانند chatgpt.js، claude.js، gemini.js) عمل میکرد.
پس از تزریق:
APIهای مرورگر مانند
fetch()وXMLHttpRequest()Override میشدندتمام درخواستها ابتدا از کد افزونه عبور میکردند
دادهها به سرورهای زیر ارسال میشدند:
analytics.urban-vpn[.]com
stats.urban-vpn[.]com
چه دادههایی جمعآوری میشد؟
✔️ پرامپتهای کاربر
✔️ پاسخهای چتبات
✔️ شناسه مکالمه و زمانبندی
✔️ متادیتای نشست
✔️ نام پلتفرم AI و مدل استفادهشده
به بیان ساده:
کل مکالمه، بدون استثنا
مشکل بزرگتر: بهروزرسانی خودکار
طبق گزارش Koi Security:
افزونههای Chrome و Edge بهصورت پیشفرض خودکار آپدیت میشوند. کاربران Urban VPN یک روز بیدار شدند و دیدند کدی روی مرورگرشان فعال شده که تمام مکالمات AI آنها را جمعآوری میکند.
حریم خصوصی روی کاغذ، فروش داده در عمل
Urban VPN در سیاست حریم خصوصی خود (آپدیتشده در ژوئن ۲۰۲۵) ادعا میکند:
دادهها «ناشناسسازی» میشوند
هدف، Safe Browsing و تحلیل بازاریابی است
اما واقعیت نگرانکنندهتر است:
دادههای خام (غیر anonymized)
با شرکت وابستهای به نام BIScience
برای اهداف تجاری و تبلیغاتی به اشتراک گذاشته میشوند
نکته مهم:
BIScience مالک Urban Cyber Security Inc نیز هست.
AI Protection؟ یا فریب امنیتی؟
Urban VPN قابلیتی به نام AI Protection را تبلیغ میکند که:
پرامپتها را برای داده حساس بررسی میکند
لینکهای مشکوک را هشدار میدهد
اما:
❌ جمعآوری داده حتی اگر این قابلیت خاموش باشد انجام میشود
❌ همان دادهای که درباره اشتراکگذاری آن هشدار داده میشود، به سرورهای خودشان ارسال میگردد
وسعت ماجرا بیشتر از یک افزونه مرورگر Google Chrome است
Koi Security اعلام کرده همین قابلیت در سه افزونه دیگر از همین ناشر نیز وجود دارد:
1ClickVPN Proxy
Urban Browser Guard
Urban Ad Blocker
📊 مجموع نصبها: بیش از ۸ میلیون کاربر
بیشتر این افزونهها هم نشان Featured دارند.
جمعبندی تحلیلی Vulnerbyte
این پرونده یک هشدار جدی است:
نشان Featured ≠ امن بودن
VPN رایگان = مدل تجاری مبتنی بر داده
مکالمات AI به یکی از حساسترین داراییهای دیجیتال کاربران تبدیل شدهاند
AI Promptها امروز همان لاگهای محرمانه فردا هستند.
