- Urban VPN Proxyは2025年7月のアップデート以降、AIチャットボットのプロンプトと応答の収集を開始した
- メタデータや会話IDを含む収集データは、広告分析のためBIScienceと共有されている
- 関連する複数のUrban拡張機能も、同様の大規模データ収集を行っている
人気のGoogle Chromeブラウザ拡張機能が、主要なAIツールの多くにユーザーが入力した内容を何でも収集し、さらにチャットボットの応答まで収集していたことが判明した。どうやら拡張機能の所有者が追加で数ドル稼ぐためだったようだ。
Urban VPN Proxyは600万件以上インストールされており、Google Chromeウェブストアでの評価は4.7/5。さらにMicrosoft Edgeアドオンのマーケットプレイスでも、追加で130万件のインストールがある。
以前は一般的なVPNとして機能しており、ユーザーの実際のIPアドレスを隠すことで、ジオブロックやその他さまざまな制限を回避していた。しかし、Koiのセキュリティ研究者が発見したところによると、2025年7月9日に拡張機能はバージョン5.5.0へ更新され、デフォルトでAIの収集が導入された。
プライバシーポリシーの更新
ユーザーがChatGPT、Anthropic Claude、Microsoft Copilot、DeepSeek、Google Gemini、Grok、Meta AI、Perplexityに入力した内容はすべて取得され、これらのツールが返した内容も同様に取得されていた。さらに拡張機能は、会話識別子、タイムスタンプ、セッションのメタデータ、使用されたAIプラットフォームとモデルも抽出していた。
拡張機能の背後にあるUrban Cyber Securityという企業は、自社の行為を隠しておらず、プライバシーポリシー文書の中で「匿名化」データを収集し、それを同社が所有する別会社BIScienceと共有していることを明記している。
BIScienceは、提携する広告インテリジェンスおよびブランド監視の組織だ。言い換えれば、大規模で匿名化されたオンライン行動を分析し、企業が広告パフォーマンス、消費者の行動経路、競合の動きを理解するのを支援する。
Urbanは、個人を特定できるデータを削除し、機微な情報を共有しないよう最善を尽くしていると述べているが、これを保証できないことも強調している。
「しかし、この処理の目的は個人情報または識別可能なデータを収集することではあるものの、すべての機微情報または個人情報の除去を完全に保証することはできません。私たちは、プロンプトを通じて送信され得る識別子や個人データをフィルタリングまたは排除し、データを非識別化して集約するための措置を実施しています」と、プライバシーポリシーには記されている。
Koiの研究者は、同じ企業が複数の拡張機能を提供しており、そのすべてが同じデータを収集していると述べた。具体的には、1ClickVPN Proxy、Urban Browser Guard、Urban Ad Blockerだ。
