
在浏览器扩展生态中,隐私保护工具本应成为用户上网安全的守护者。然而,近日网络安全研究机构Koi Security披露,一款标榜VPN功能的热门浏览器扩展“Urban VPN代理”涉嫌大规模窃取用户与AI聊天工具的对话内容。这一事件涉及Chrome和Edge应用商店的“精选”认证机制,影响用户超过800万,引发业界对VPN、梯子等翻墙工具隐私风险的广泛关注。
事件背景:热门VPN扩展隐含数据收集功能
“Urban VPN代理”由美国公司Urban Cyber Security Inc.开发,在Chrome商店安装量达600万、Edge商店130万,并获得平台“精选”徽章和高评分。该扩展宣传可提供VPN代理服务,帮助用户隐藏IP、保护隐私并实现翻墙访问受限内容,许多用户将其作为日常梯子工具使用。
然而,2025年7月版本更新后,该扩展默认启用针对主流AI平台的监控脚本,包括ChatGPT、Claude、Gemini、Copilot、Grok等。研究显示,即使未主动启用相关功能,扩展也会在后台自动注入代码,拦截用户网络请求。
技术细节:精准捕获AI对话数据
扩展通过自定义脚本(如chatgpt.js、claude.js)覆写浏览器核心API(如fetch和XMLHttpRequest),确保所有与AI平台的通信流量先经扩展处理。随后,用户输入的提示词、AI完整回复、会话ID、时间戳及模型信息等数据,被上传至远程服务器(analytics.urban-vpn.com等)。
此机制绕过用户知情同意,默认自动更新特性进一步放大风险。许多安装该VPN扩展以实现翻墙或隐私保护的用户,未察觉到其梯子功能背后隐藏的监控行为。
隐私政策争议与数据商用
开发者在隐私政策中提及收集“网络浏览数据”用于安全增强和营销分析,并承诺匿名化处理。但调查发现,这些原始数据实际共享给关联广告公司BIScience,用于生成商业情报并与第三方伙伴交换。该公司为Urban VPN的母公司,暴露了VPN工具从隐私守护者转为数据贩卖者的潜在风险。
研究人员指出,该扩展宣传的“AI保护”功能(如检测敏感提示或可疑链接)实为幌子,实际收集范围覆盖所有对话内容,与其VPN翻墙定位形成强烈反差。
影响扩展与平台信任危机
同一开发者旗下另三款扩展(1ClickVPN、Urban Browser Guard、Urban Ad Blocker)同样嵌入相同窃取模块,总影响用户超800万。大多数产品均获“精选”认证,此徽章本意保障质量与安全,却在本次事件中被指滥用,削弱用户对应用商店的信任。
此案凸显浏览器扩展审核局限性,尤其在VPN、梯子类翻墙工具领域。用户往往因需求隐私保护而安装此类扩展,却可能面临更严重的数据泄露。
用户建议与行业启示
事件曝光后,专家建议用户立即卸载涉事扩展,并审查已安装VPN工具的权限与更新记录。选择翻墙梯子时,优先考虑信誉良好、开源或第三方审计的VPN服务,避免免费或未知来源产品,以降低隐私风险。
总体而言,这一事件提醒广大用户,在追求网络自由与翻墙便利的同时,必须警惕VPN扩展潜在的监控隐患。随着AI应用普及,类似隐私窃取案例或将增多,平台审核机制与用户警惕性需同步提升。
本站推荐翻墙工具列表(2026年):
Just My Socks机场:搬瓦工IDC官方产品,理论上永不离线。
日本VilaVPN机场评测:日本人开的老牌机场,非常稳定正统
我们的推荐是真诚的,但不代表我们能够保证其服务质量,建议查看评测文章以了解更多。
扩展阅读
关于本文,您可以在下方留下评论。同时我们还欢迎您阅读本站的其他精彩文章并留下您的真知灼见。如果有打不开的页面,您可以给我们留言来改善阅读体验。
邀请评论
感谢您访问本站,本站是一个非盈利公益网站,旨在为您提供丰富的VPN软件和实用网络工具,希望通过我们的贡献帮助您更好更安全的访问互联网。您可以在每一篇感兴趣的文章的评论区发表自己的见解和意见,所有这些建议和看法都是互联网共享精神的一部分。我们将置顶对人们有用的评论,感谢您的分享!