В середине декабря выяснилось неприятное: несколько популярных расширений для Chrome и Edge, которые обещают «приватность», на самом деле перехватывают и отправляют на серверы ваши переписки с AI-чатами — целиком, включая ответы моделей. По оценкам исследователей, суммарная аудитория таких расширений превышает 8 млн установок, а сбор данных мог идти как минимум с июля 2025 года, когда в одно из них тихо добавили соответствующий функционал через автообновление.
Что произошло и почему это важно
Исследователи из Koi Security обнаружили, что расширение Urban VPN Proxy (и ещё несколько родственных ему расширений) умеет читать содержимое диалогов на популярных AI-платформах и «выносить» их наружу, несмотря на маркетинг про безопасность и защиту.
Проблема не только в факте слежки, а в типе данных: AI-диалоги часто содержат то, что люди не пишут в письмах и мессенджерах — фрагменты кода, бизнес-планы, внутренние документы, медицинские вопросы, финансовые детали и «черновики мыслей». В терминах утечек это не просто «история браузера», а концентрат персональных и корпоративных секретов, причём в максимально структурированном виде: вопрос → контекст → ответ → уточнения.
Кто попал под удар
В отчёте фигурирует связка расширений, распространяемых в магазинах Chrome Web Store и Microsoft Edge Add-ons, включая Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard и Urban Ad Blocker.
Суммарно речь идёт о миллионах установок: один только Urban VPN Proxy описывается как расширение с аудиторией «более 6 миллионов» в Chrome и примерно 1,3 млн установок в Edge, а общий «пул» затронутых пользователей (по нескольким расширениям) — «более 8 миллионов».
Дополнительный тревожный штрих — часть этих расширений имела отметку «Featured» (то есть витринное продвижение/знак качества магазина), что для обычного пользователя выглядит как неявная гарантия проверки.
Как именно расширения крали AI-переписку
Схема выглядит так, как будто у вас в браузере поселился «встроенный перехватчик трафика», но легально — потому что это расширение с правами на чтение/изменение содержимого страниц.
Вот механика на понятном языке:
- Расширение «следит» за вкладками и, когда вы открываете сайт AI-чата (например, ChatGPT, Claude, Gemini, Copilot, Perplexity и др.), внедряет на страницу специальный скрипт под конкретную платформу.
- Этот скрипт перехватывает сетевые запросы прямо в браузере, подменяя стандартные механизмы веб-приложений (например, fetch и XMLHttpRequest), поэтому он «видит» запросы и ответы ещё до того, как они отрисуются на странице.
- Затем из перехваченного потока извлекаются ваши промпты и ответы модели, добавляются метаданные (вроде идентификаторов диалогов и времени), после чего всё отправляется на внешние серверы (в материалах упоминаются домены аналитики Urban VPN).
Отдельно подчёркивается: сбор данных работал независимо от того, включён ли сам VPN-туннель. То есть даже если расширение «как VPN» вы не использовали или отключали — перехват мог продолжаться.
«AI Protection» как ширма
Маркетингово функция подавалась как «AI protection»: мол, расширение предупреждает, если вы собираетесь отправить личные данные, или если в ответах бота есть подозрительные ссылки.
Но в отчёте Koi Security указано, что «защитные» уведомления и «сбор/эксфильтрация» живут отдельной жизнью: включение/выключение предупреждений не останавливало перехват переписок, а пользователь не получал понятного переключателя «запретить сбор AI-диалогов». Фактически единственный способ остановить это — удалить расширение.
Почему магазины расширений это пропустили
Здесь сразу две системные проблемы.
Первая — доверие к витринам. Если у расширения миллионы установок, высокий рейтинг и отметка «Featured», большинство людей перестают задавать вопросы и просто жмут «Установить». По сути, знак качества превращается в канал масштабирования риска.
Вторая — модель «автообновлений без шума». Согласно исследованию, сбор AI-диалогов в Urban VPN Proxy появился не «изначально», а был добавлен в одной из версий летом 2025 года и включён по умолчанию, а дальше расширения обновлялись автоматически. В результате пользователь ставил одно, а проснулся с другим — и даже не заметил момента подмены.
Что делать пользователям и командам
Если в браузере стояли «бесплатные VPN», «адблокеры» и «браузер-гарды», которые требуют доступа «ко всем сайтам», стоит считать это зоной повышенного риска и провести ревизию.
Практичные шаги, которые реально снижают риск:
- Удалить подозрительные расширения, особенно из категории «бесплатный VPN/прокси», и проверить список разрешений у оставшихся (опасный сигнал — доступ к «чтению и изменению данных на всех сайтах»).
- Развести рабочие и личные контуры: отдельный профиль браузера для работы, отдельный — для «экспериментов», и минимум расширений в рабочем профиле.
- Для компаний: считать AI-чаты таким же каналом утечек, как почту и мессенджеры, и закрепить правила — что можно отправлять в AI, а что нельзя, даже если «это просто черновик».
Важно понимать: «не вставляйте секреты в ChatGPT» — уже устаревший совет. Реальность хуже: секреты могут утекать не только к AI-провайдеру, но и к тому, кто сидит в вашем браузере под видом «защиты приватности».
От редакции
Сюжет идеально ложится в главный тренд 2025–2026: AI-диалог становится новым «логом жизни» — люди используют чат как психолога, юриста, аналитика, коллегу по коду и блокнот для идей, и ценность этих данных для рекламы, профилирования и промышленного шпионажа на порядок выше обычного clickstream.
Второй тренд — «театр безопасности» в продуктовой упаковке: функции с названиями вроде «AI protection» создают ощущение контроля, но по факту могут служить ширмой для сбора данных, потому что пользователь психологически воспринимает мониторинг как заботу.
Практическая польза из этой истории — не в очередной панике, а в том, чтобы выстроить привычки: относиться к расширениям как к полноценному ПО с максимальными правами, вводить «минимально необходимый набор» в браузере и держать отдельный чистый профиль для работы с AI, где нет ничего лишнего. Если есть команда или проект — самое время добавить в чек-листы безопасности пункт «аудит расширений» и правило: любые AI-обсуждения чувствительных тем вести только в контролируемой среде.
Подписывйся, чтобы лучше понимать, как жить в мире, в котором мы оказались.