Chrome 擴充功能盜取 AI 對話：隱私風險與用戶安全考量

隨著 AI 瀏覽器（如 Perplexity Comet、Google Chrome Gemini、Microsoft Edge Copilot）在企業與個人層面快速普及，AI 代理程式不再僅是自動化工具，而是直接操縱使用者帳戶、存取 Gmail、Google Drive、Slack 等服務的「代理人」。這種高度整合與權限擴張，使得擴充功能成為新型資安破口，尤其在擷取 AI 對話內容、竊取隱私資訊方面表現突出。

背景與趨勢

根據市場研究機構 Market.us，2024 年 AI 瀏覽器市場規模已達 45 億美元，預計到 2034 年將突破 768 億美元，複合年增長率達 32.8% (Unwired, 2025‑12‑06)。AI 代理程式透過 OAuth 取得使用者對多個雲端服務的存取權限，並以「自動指令」執行任務。這種設計雖大幅提升工作效率，但也將使用者完整帳戶權限交給第三方程式，一旦程式被入侵或植入惡意代碼，攻擊者即可在不需要使用者再次授權的情況下，存取、修改或刪除資料。

核心威脅：擴充功能盜取 AI 對話

Chrome 擴充功能在瀏覽器內部以「權限」形式運作，若未經嚴格審核便可能擁有讀寫網頁內容、存取 API、甚至偵聽鍵盤輸入的能力。對 AI 瀏覽器而言，對話框即為關鍵資料輸送管道，任何具備「讀取網頁內容」權限的擴充功能都能捕捉使用者與 AI 之間的文字交互，並在背景進行遠端傳輸。

此外，近期研究顯示，AI 代理程式易受「零點擊」或「提示注入」攻擊。以 ChatGPT 代理人為例，研究人員發現「Shadow Leak」漏洞可在使用者未點擊任何連結時，利用隱藏文字觸發模型執行指令，將 Gmail 內的敏感郵件內容傳送至攻擊者伺服器 (Trend Micro, 2025‑12‑??)。同樣的攻擊手法亦被證明能在 Perplexity Comet 上觸發「零點擊刪除 Google Drive 檔案」事件 (Unwired, 2025‑12‑06)。

攻擊案例分析

零點擊刪除 Google Drive（Perplexity Comet）：攻擊者發送精心編寫的電郵，包含隱藏的 AI 指令，當使用者讓 AI 代理程式檢查郵件並完成整理任務時，代理程式會自動執行「刪除所有 Drive 檔案」指令，造成瞬間資料消失 (Unwired, 2025‑12‑06)。
ChatGPT 代理人「Shadow Leak」：透過白字隱藏在白底中的惡意提示，當 AI 代理程式對郵件內容進行摘要或深度研究時，模型會執行隱藏指令，將 Gmail 內的個人與商業郵件直接傳送給攻擊者 (Trend Micro, 2025‑12‑??)。
擴充功能 ID 碰撞與惡意注入：Synacktiv 研究發現，駭客可利用合法擴充功能的 RSA 公鑰計算相同的 ID，並將未封裝惡意擴充功能注入同一 ID，藉此繞過白名單機制，終端使用者無法察覺被植入 (Tech Island, 2025‑??)。

MITRE ATT&CK 對應

T1078 – Valid Accounts (利用 OAuth 憑證執行操作)
T1059 – Command & Scripting Interpreter (AI 代理程式執行腳本)
T1190 – Exploit Public‑Facing Application (零點擊攻擊)
T1189 – Drive‑by Compromise (惡意擴充功能注入)
T1064 – Scripting (提示注入)

防禦建議

企業與個人使用者皆需採取多層防禦策略，降低擴充功能盜取 AI 對話的風險。

嚴格審核擴充功能：只安裝經官方商店審核且在白名單中的擴充功能，並定期檢查其權限設定。Chrome 內建「安全檢查」功能可偵測可能有安全風險的擴充功能 (Google Support, 2025‑??)。
限制權限與監控 OAuth 連線：在公司政策中明確禁止擴充功能擁有「讀取/寫入」網頁內容、跨域存取或「存取 Gmail/Drive」等高風險權限；使用 OAuth 連線時應啟用最小權限原則，只授權必要範圍。
啟用多因素驗證（MFA）：對於重要帳戶（例如 Google Workspace、Microsoft 365）啟用 MFA，即使擴充功能竊取 OAuth token，也難以直接登入。
監控 AI 代理指令與輸出：企業可部署日誌收集與分析工具，監控 AI 代理程式的指令與輸出，偵測異常模式（如頻繁刪除或大量資料傳輸）。
使用沙箱或容器化執行 AI 代理程式：將 AI 瀏覽器或代理程式放入受限環境，限制其對系統與網路的存取。
定期更新 Chrome 與擴充功能：Chrome 會自動推送安全更新，確保使用最新版以抵禦已知漏洞；同時，定期檢查擴充功能是否有安全公告。
教育與訓練：定期培訓使用者辨識「零點擊」與「提示注入」手法，避免在 AI 代理程式中執行不明來源的指令。

結論

AI 瀏覽器與擴充功能的結合，雖為使用者帶來極大便利，但同時也將敏感對話與雲端資料暴露於潛在的惡意程式之下。從零點擊刪除 Google Drive 到 ChatGPT 代理人「Shadow Leak」，已證實擴充功能在缺乏嚴格審查與權限控管時，能輕易成為資料竊取、系統破壞的突破口。企業IT與資安主管應以「最小權限、分層防禦、持續監控」為核心，結合 Chrome 的安全檢查功能、OAuth 連線審核與多因素驗證，才能在 AI 助手日益普及的同時，確保資訊安全與隱私不被侵蝕。