Urban VPN Proxy 擴充功能的隱私風險：AI 對話紀錄被竊取

近期，Koi Security 針對數個在 Chrome 與 Microsoft Edge 上架、擁有「精選（Featured）」徽章的 VPN 及瀏覽器擴充功能進行深度分析，發現其內置惡意腳本會自動攔截並傳送使用者於主流生成式 AI 平台（如 ChatGPT、Gemini、Claude 等）上的完整對話紀錄。此舉不僅違背使用者隱私權，亦涉嫌將敏感資訊轉售給資料經紀商，造成超過 800 萬名用戶的資料外洩風險。

事件概覽

• 受害擴充功能：Urban VPN Proxy、1ClickVPN Proxy、Urban Browser Guard、Urban Ad Blocker。
• 受影響版本：自 2025‑07‑09 推出的 5.5.0 版本起已植入。
• 目標平台：ChatGPT、Gemini、Claude、Microsoft Copilot、Perplexity、DeepSeek、Grok、Meta AI 等。
• 收集內容：提示詞、AI 回覆、對話 ID、時間戳記、技術中繼資料。
• 傳輸方式：腳本覆寫 fetch()、XMLHttpRequest 等 API，將資料壓縮後發送至 analytics.urban‑vpn.com 等遠端伺服器。
• 商業模式：將蒐集的原始對話資料提供給 BiScience 等資料經紀商，用於行銷分析與轉售。

此事件在 2025‑12‑25 前已被多家媒體報導並引起業界警覺，尤其是擁有官方「精選」徽章的軟體更易被用戶信任，因而造成隱私風險被低估。

技術機制：腳本注入與 API 攔截

Urban VPN Proxy 透過「執行腳本（executor script）」在目標 AI 網頁載入時即注入。該腳本會執行下列操作：

// 覆寫 fetch 以攔截所有網路請求
const originalFetch = window.fetch;
window.fetch = function(input, init) {
  const response = originalFetch(input, init);
  response.then(res => res.clone().json().then(data => {
    // 解析 AI 對話
    const prompt = data?.prompt;
    const reply  = data?.response;
    // 將資料封包發送至後端
    sendToServer({prompt, reply, timestamp: Date.now()});
  }));
  return response;
};

上述程式碼示範了核心思想：透過重寫原生 API，無需任何額外權限即可在瀏覽器層面監聽並擷取對話資料，並在背景執行離線傳輸。

受影響平台與使用者範圍

• Chrome：Urban VPN Proxy 600+ 萬安裝者；1ClickVPN Proxy 60 萬；Urban Browser Guard 4 萬；Urban Ad Blocker 1 萬。
• Microsoft Edge：Urban VPN Proxy 132 萬安裝者；1ClickVPN Proxy 3.6 萬；Urban Browser Guard 1.3 萬；Urban Ad Blocker 6 千。
• 總安裝數量超過 800 萬，涵蓋個人與企業使用者。

即使在「VPN 未啟用」的情況下，腳本仍會自動在背景執行，使用者若僅關閉 VPN 功能，並無法阻止資料被竊取。唯一有效的阻斷方式是徹底卸載該擴充功能。

風險評估：個人與企業的隱私風險

• 個人層面：醫療、法律、財務等敏感資訊可能被第三方收集，造成身份盜用或詐騙風險。
• 企業層面：內部流程、商業機密、客戶資訊等對話可能被外洩，違反資料保護法（GDPR、個資法）及合約義務。
• 法律後果：若企業未能妥善保護 AI 對話資料，可能面臨罰款、訴訟及信譽損失。

如何辨識與移除受感染的擴充功能

1. 檢查 Chrome / Edge 的擴充功能列表，尋找「Urban VPN Proxy」等名稱。
2. 確認安裝來源：若擴充功能已被 Google/Microsoft 授予「精選」徽章，仍需謹慎。
3. 使用瀏覽器內建開發者工具（Console）觀察是否載入不明腳本，或有頻繁的網路請求發向 analytics.urban‑vpn.com。
4. 若確認受感染，立即從擴充功能列表中「移除」或「停用」並清除瀏覽器快取。
5. 為避免重複安裝，建議在安裝前使用安全插件（如 NoScript、uBlock Origin）限制腳本執行。

企業端的防護策略

• 建立擴充功能白名單：僅允許經過內部審核、且無不良紀錄的擴充功能。
• 實施終端偵測與回應（EDR）監測可疑腳本注入行為。
• 使用網路層防護（WAF）攔截至 analytics.urban‑vpn.com 的請求。
• 推動員工安全意識訓練，強調避免安裝未知來源的 VPN 或瀏覽器擴充功能。
• 與 IT 供應商合作，確保 AI 平台的 API 端點已加強驗證與加密。

合規與法律層面

根據《個人資料保護法》與《通訊保障及監察法》，企業須確保個人訊息不被未經授權蒐集與傳輸。若發現擴充功能違法收集 AI 對話，企業可向主管機關報案，並主動通知受影響使用者。

此外，若擴充功能為「精選」產品，仍需證明其符合「安全標準」與「隱私保護」承諾。違規情形可構成違反 Google/ Microsoft 的商業條款，或觸及國際電腦犯罪法規。

MITRE ATT&CK 對應

• T1055 – Process Injection（腳本注入）
• T1071 – Application Layer Protocol（使用 Web 協定 exfiltration）
• T1105 – Ingress Tool Transfer（將對話資料傳輸至遠端伺服器）
• T1027 – Obfuscated/Encrypted Files or Information（資料壓縮、隱匿傳輸）

結論與建議

Urban VPN Proxy 及其同類擴充功能的事件警醒 IT 與資安專業人員：即使產品獲得官方「精選」認證，也不能假設其安全無虞。生成式 AI 的普及使得對話資料成為高價值目標，攻擊者利用瀏覽器層面腳本注入即可輕易竊取。企業應建立嚴格的擴充功能管理與終端安全策略，並加強對 AI 平台 API 的監控與加密。個人使用者亦應謹慎安裝第三方 VPN，並定期檢查瀏覽器擴充功能的安全性。

參考資料與原文來源

• 🔗 原文來源: Inside.com.tw － Chrome 擴充功能遭控竊取 ChatGPT 與 Gemini 用戶對話數據
• 🔗 原文來源: TechBang － Chrome、Edge 擴充功能爆 800 萬人隱私危機
• 🔗 原文來源: HK01 － 小心VPN陷阱！竊取ChatGPT﹑Gemini AI對話記錄
• 🔗 原文來源: Line Today － 800 萬用戶 AI 對話紀錄遭外流
• 🔗 原文來源: iThome － 安裝數逾800萬的4款擴充程式，被揭攔截AI對話資料

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。