ブラウザ拡張機能は、生産性を高めたり便利な機能を追加したりするための身近な手段として長らく利用されてきたが、また別の事例が、この利便性がいかに容易に機密データをひそかに収集する経路へと変貌し得るかを示している。
Koi Securityの研究者は報告で、Google Chrome向けのUrban VPN Proxy拡張機能(「注目」扱いで、約600万人がインストール)が、人気AIチャットボットとの会話を傍受していたと述べた。対象には、ChatGPT、Claude、Copilot、DeepSeek、Gemini、Grok、Meta AI、Perplexityといったサービスのプロンプトおよび応答が含まれていた。Urban VPN ProxyはChromeウェブストアで4.7の評価を得ており、Microsoft Edgeのアドオンカタログでは約130万件のインストールが記録されている。
報告によれば、データ収集機能は2025年7月9日に公開された更新後、既定で有効化されており、ユーザーはバージョン5.5.0を受け取っていた。各AIプラットフォームごとに、拡張機能は専用のJavaScriptスクリプトを読み込み、チャットボットのページへ直接注入していた。
展開後、これらのスクリプトはブラウザ標準のリクエスト送信機構であるfetch()およびXMLHttpRequest()を置き換え、すべての通信がまず拡張機能のコードを経由するようにした。これにより会話内容を抽出し、analytics.urban-vpn[.]comおよびstats.urban-vpn[.]comの外部サーバーへ送信できるようになっていた。
収集されたデータには、ユーザーのプロンプト、チャットボットの応答、会話識別子とタイムスタンプ、セッションのメタデータ、ならびに利用中のAIプラットフォームとモデルに関する情報が含まれていたとされる。Urban VPNの2025年6月25日付の更新版プライバシーポリシーでは、こうしたデータはセーフブラウジング目的およびマーケティング分析のために収集され、匿名化されると保証している。同時に同社は、ユーザーのクエリ内で機微情報が取得されることを完全に防ぐのは常に可能とは限らないことも認めている。
報告書の著者らは、ウェブ閲覧データを受け取るパートナーに特に注目した。その中には、広告分析とブランド監視を専門とする関連会社BIScienceが含まれる。Urban VPNの文書によれば、BIScienceは非匿名化データを用いて商業的インサイトを生成し、それをビジネスパートナーと共有しているという。文書ではまた、BIScienceと、デラウェア州登録でUrban VPN Proxyの開発元であるUrban Cyber Security Inc.との関係も強調されている。
拡張機能の掲載ページでは、プロンプト内の個人データや応答内の不審なリンクについてユーザーに警告することを目的とした「AI保護」機能を宣伝している。しかしKoi Securityは、このオプションが有効かどうかに関わらず、会話の傍受と送信が行われていたことを確認した。
調査担当者は、同一パブリッシャーによる追加の3つの拡張機能(1ClickVPN Proxy、Urban Browser Guard、Urban Ad Blocker)にも、同様のAI対話の傍受ロジックを特定した。これらの拡張機能は合計で800万件を超えるインストール数に達しており、その多くが同様に「注目」扱いとなっているため、プラットフォーム側でより厳格な審査が行われているかのような印象を与える。The Hacker NewsはGoogleとMicrosoftにコメントを求めており、回答を待っている。
