生成式 AI 浪潮下的隱形威脅：惡意 Chrome 擴充套件大規模竊取 ChatGPT 與 DeepSeek 對話分析

隨著 ChatGPT、Claude 與 DeepSeek 等生成式 AI 工具成為開發者與企業員工日常工作流的一環，針對這些平台的攻擊手段也隨之演進。資安研究機構 OX Security 近期揭露，Chrome 線上應用程式商店出現兩款下載量合計超過 90 萬次的惡意擴充套件，透過偽裝成合法的 AI 側邊欄工具，實則在背景大規模竊取使用者的 AI 對話內容與完整的瀏覽器分頁資訊 (iThome)。這類攻擊不僅威脅個人隱私，更可能導致企業內部原始碼、組織架構與商業機密外洩。

「李代桃僵」：欺騙性極強的社交工程與技術包裝

這類惡意擴充套件主要採用的手法是完全複製合法 AI 工具（如 Aitopia）的功能與介面，讓使用者在安裝後確實能看到 AI 側邊欄並進行對話，從而降低戒心 (新浪財經)。

官方標章誤導：其中一款名為「Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI」的套件，甚至曾獲得 Google Chrome 商店的「精選 (Featured)」徽章。此標章通常代表該套件遵循官方推薦的開發實踐，卻被攻擊者利用作為信任背書，導致超過 60 萬名使用者誤入陷阱 (iThome)。
濫用合法開發平台：攻擊者利用 AI 網頁開發平台 Lovable 來架設隱私政策頁面與解除安裝後的導流頁面。這種做法不僅降低了惡意基礎設施的建置成本，更利用合法網域的信譽來規避資安掃描與增加溯源難度 (iThome)。
權限濫用：惡意套件會要求「讀取並變更所有網站上的所有資料」的高權限。一旦使用者同意，插件即可透過 DOM 元素抓取即時的聊天記錄，並以「蒐集匿名分析資料」為幌子，誘使使用者授權資料外傳 (新浪財經)。

技術細節：資料竊取路徑與 C2 通訊

研究人員分析發現，這些惡意套件的行為並非隨機，而是具有高度針對性的自動化搜集流程。其核心威脅在於以下兩點：

1. 自動化 DOM 抓取與對話外洩

當使用者在 ChatGPT 或 DeepSeek 頁面進行輸入時，惡意程式碼會監控網頁中的特定文本框與對話容器。由於擴充套件具備內容腳本 (Content Scripts) 權限，它可以直接讀取網頁 DOM 樹中的文字內容，將提問 (Prompts) 與 AI 回覆 (Responses) 一併打包 (新浪財經)。

2. 頻繁的瀏覽軌跡追蹤

除了 AI 對話，該套件會每隔約 30 分鐘將所有開啟分頁的完整 URL、搜尋關鍵字以及可能包含 Session Tokens 的參數，批次傳送至攻擊者控制的遠端命令與控制 (C2) 伺服器 (iThome)。這意味著攻擊者能勾勒出受害者的完整工作輪廓，甚至可能藉由外洩的 Session Token 進行帳號劫持 (TWCERT/CC)。

企業 IT 與資安工程師的防護建議

針對此類透過瀏覽器套件滲透企業邊界的威脅，IT 技術主管與資安工程師應採取以下防禦策略：

實施擴充套件白名單管理：透過 Chrome 企業管理原則 (Group Policy 或 Chrome Browser Cloud Management)，限制員工僅能安裝經過資安審核的擴充套件，嚴禁安裝未經授權的第三方 AI 工具。
監控異常 DNS 與 Web 流量：針對已知的惡意 C2 伺服器或異常的批次資料上傳行為進行告警。特別是針對 AI 工具網域以外的資料傳輸行為應列為重點監控對象。
強化端點偵測與回應 (EDR)：如 Microsoft Defender for Endpoint (ATP) 等工具已開始針對 ChatGPT Stealer 相關的惡意程序與檔案雜湊值發出警報 (Reddit)，應確保 EDR 規則即時更新。
推廣企業版 AI 服務：鼓勵員工使用 ChatGPT Enterprise 或 Azure OpenAI 等具備資料隱私保護承諾的企業級服務，減少員工為了便利而自行尋找第三方不可信插件的需求。