- 研究者は、悪意ある拡張機能がAIチャットボットの会話を盗む「プロンプト・ポーチング」の増加を警告
- 約90万人のユーザーがいる2つの偽装Chromeアドオンが、30分ごとにプロンプトとタブのデータをC2サーバーへ流出させていた
- 同様の事例(例:Urban VPN Proxy)は、公式ストアで高評価の拡張機能であっても、チャット、認証情報、決済データを収集し得ることを示している
「プロンプト・ポーチング」と呼ばれる新たな悪質な手口が出現した。拡張機能やアドオン、その他のアプリがAIチャットボットとの会話を盗み聞きし、さまざまな目的でプロンプトを流出させるというものだ。
研究者が数十万人のユーザーを抱える拡張機能を次々に見つけていることから、これはますます広がりつつある。
OX Securityの研究者は最近、累計で90万人超のユーザーを持つ2つのChrome拡張機能を発見した。名称は「Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI」と「AI Sidebar with Deepseek, ChatGPT, Claude, and more」だ。
悪意ある拡張機能の増加
どうやらこの2つは、AITOPIAが提供する正規のブラウザーアドオン「Chat with all AI models (Gemini, Claude, DeepSeek…) & AI Agents」(ユーザー数は約100万人)を偽装しているという。違いは、この2つが「サイドバー体験の改善」という名目の裏で、人々のプロンプトを取得している事実を隠している点だけだ。
OX Securityは報告書の中で、これらの拡張機能が「30分ごとにユーザーの会話と、すべてのChromeタブのURLをリモートのC2サーバーへ流出させていることが確認された」と述べた。「マルウェアは『匿名で個人を特定できない分析データ』への同意を求めることで悪意ある機能を追加しているが、実際にはChatGPTおよびDeepSeekのセッションから会話内容を丸ごと流出させている。」
実際、インストールすると拡張機能は匿名化されたブラウザー行動の収集権限をユーザーに求め、ユーザーが承諾すると、開いているブラウザータブやプロンプトに関する情報の収集を開始する。
近ごろ、こうした悪意ある拡張機能はますます増えている。2025年12月中旬には、Google Chrome Web Storeで600万回以上インストールされ、評価4.7/5のツールであるUrban VPN ProxyがAIチャットを収集していたことを研究者が突き止めた。ほかにも多数の拡張機能がログイン認証情報や決済データを盗んでいるのが確認され、中には感染した端末のスクリーンショットを攻撃者に送信していたものさえあった。
この手口がとりわけ懸念されるのは、こうした拡張機能の多くが信頼できるブラウザーストアで見つかっているという事実だ。
