新たに発見されたデータ収集作戦「PromptSnatcher」が、約9万人のブラウザユーザーのプライベートなAI会話を密かに傍受していることが明らかになりました。
悪意ある広告ブロック拡張機能を装ったこのキャンペーンは、完全に正規のツールに見せかけながら、8つの主要AIプラットフォームから機密チャットログ、アカウントメタデータ、モデル利用状況を収集しています。
内部的に「Panel 231」として追跡されているこの作戦は、ChatGPT、Claude、Gemini、Copilot、Perplexity、DeepSeek、Grok、Meta AIを標的にしています。
拡張機能は実際に広告ブロック機能を提供しており、それが非公開のテレメトリーチャンネルを隠す隠れ蓑となっています。
ユーザーは、初回案内画面で「Enhanced Protection(強化された保護)」という曖昧な同意を求められますが、AI会話の収集については一切言及されず、巧みに監視を受け入れさせられます。
フォレンジック分析によると、2つの拡張機能は難読化された同一のコードとカスタム製のバックグラウンドマネージャーを共有しており、共通のJavaScriptファイルをページのメイン環境に直接注入して、標的AIドメイン上のユーザー活動を静かに監視します。
注入されると、キャプチャエンジンはコアのWeb通信プロトコルに介入し、トラフィックをリアルタイムで複製します。具体的には、fetch、XMLHttpRequest、WebSocketコンストラクターなどのグローバルデータ取得コマンドにフックします。
拡張機能はキャプチャしたテキストをバッファリングし、ユーザーのプロンプトは最大1万文字、AIの応答は最大3万文字を蓄積してからペイロードを送信します。
開発者は各プラットフォーム向けにカスタムパーサーを構築し、機密アカウント情報を抽出しています。
たとえば、この拡張機能はChatGPTのインターフェースを積極的にスクレイピングしてユーザーが有料アカウントかどうかを判定し、Microsoft CopilotではProサブスクリプションが有効かどうかを確認します。
PromptSnatcherの最も危険な特徴の一つが、動的なペイロード管理です。
プラットフォームの解析ロジックを拡張機能のファイルにハードコードするのではなく、バックグラウンドマネージャーが実行時にリモート設定エンドポイントからターゲティングルールをダウンロードすると、malextが報告しています。
この柔軟なアーキテクチャにより、脅威アクターはブラウザ拡張機能ストアへのバージョン提出とレビューを経ることなく、新たなAIプラットフォームの追加や解析ルールの更新を静かに行えます。
Meta AIは拡張機能の静的コードには一切存在しませんが、ライブのリモート設定では有効化された状態で動作していることが確認されました。
コマンド&コントロールサーバーはこのルールセットを保護するため、特定のブラウザ拡張機能オリジンヘッダーを要求しており、標準的なWebセキュリティスキャナーによる悪意あるペイロードの検出を効果的に回避しています。
さらに、この作戦はプライバシーチェックを回避するため、ストア掲載ページも巧みに操作しています。両拡張機能のFirefox版はマニフェストにおいて、データ収集に関する権限は一切不要と明示的に宣言しています。
しかし、この公式な宣言にもかかわらず、実際にはChrome版と機能的に同一の高度に侵害的なキャプチャエンジンが同梱されています。
このキャンペーンは、ブラウザ拡張機能に関連するサプライチェーンリスクの深刻化を浮き彫りにしています。
正規の機能を提供しながら動的かつリモートで更新可能なスパイウェアを隠蔽することで、脅威アクターはストアの自動審査を容易にすり抜け、現代のAIプラットフォームから個人および企業の高度に機密性の高いデータを収集できてしまいます。
翻訳元: https://cyberpress.org/ad-blockers-steal-ai-chats/
