software

恶意 Chrome 扩展窃取 AI 聊天记录:2026 年如何保护你的对话

发布: (2026年1月3日 GMT+8 09:01)
9 min read
原文: Dev.to

Source: Dev.to

(请提供您希望翻译的正文内容,我将为您翻译成简体中文并保留原有的格式、Markdown 语法以及代码块和 URL。)

在 900 K AI‑Chat 窃取活动中发生了什么?

  • 两个恶意的 Chrome 扩展 假装成合法的 AI‑assistant 工具,悄悄窃取用户的 AI 对话和浏览数据。
  • 它们针对流行的 AI 平台,如 ChatGPTDeepSeekPerplexity,甚至在 Chrome Web Store 上架。
  • 该活动于 2025 年底被 OX Security 揭露。
  • 假冒扩展复制了真实 AI‑sidebar 扩展 AITOPIA 的外观和交互。
  • 一旦安装,它们会直接从浏览器中抓取 AI 聊天记录,并每 30 分钟 将数据外泄至攻击者控制的服务器。
  • 其中一个恶意扩展显示了 Google 的 “Featured” 徽章,通常表示符合安全和用户体验最佳实践。
  • 该徽章让扩展在非技术用户眼中显得尤为可信。
  • 两个扩展累计 超过 900 000 次下载
  • OX Security 于 2025 年 12 月 29日 向 Google 举报,但这些扩展至少在 2025 年 12 月 30日 仍可获取。
  • 要点: 即使是 “Featured” 或 “Recommended” 的扩展,在处理敏感 AI 内容时也不能被视为安全。

如何这些恶意 AI 扩展实际工作

步骤详解:从安装到数据外泄

  1. 创建唯一追踪 ID – 扩展生成唯一的用户 ID 并开始追踪你的浏览会话。

  2. 监控标签页和 URL – 使用 Chrome 的 tabs API,监视对 ChatGPT、DeepSeek 或其他 AI 工具的访问,并记录活动标签页的 URL(泄露研究主题、内部工具、查询参数等)。

  3. 从 DOM 抓取 AI 对话 – 当你在 AI 聊天页面时,扩展读取文档对象模型 (DOM),提取你的提示和 AI 的回复。

  4. 编码并发送数据 – 被窃取的数据进行 Base64 编码后,发送到指挥控制服务器,例如:

    deepaichats.com
chatsaigpt.com

    上传会批量进行,大约每 30 分钟 发送一次,以混入正常流量。

  5. 静默更新保持攻击活跃 – 扩展可以自动接收更新,在未经用户批准的情况下添加或修改恶意行为。这种 “潜伏特工” 模式使看似无害的扩展在数月后变得危险。

为什么 AI 对话是金矿

AI 聊天包含丰富的结构化数据,攻击者可以将其变现:

  • 产品路线图、商业策略或客户数据
  • 源代码和内部架构细节(开发者)
  • 临床摘要或协议相关笔记(研究人员,即使已去标识)

在 2026 年的 AI 网络安全格局中,此类数据是主要目标。

不止一次的事件:VPN 扩展、精选徽章 与 800 万 AI 聊天记录

免费 VPN 与“隐私”扩展问题

  • 2025 年 12 月,Koi Security 揭露了多个免费 VPN 和隐私相关的 Chrome/Edge 扩展(累计下载量超过 800 万),这些扩展会捕获 AI 对话。
  • 类似 Urban VPN Proxy 的扩展会拦截 ChatGPT、Claude、Gemini、Copilot、Perplexity、DeepSeek、Grok 等平台的聊天内容。
  • 嵌入的 JavaScript 覆盖了浏览器核心函数(fetch()XMLHttpRequest),实时拦截用户输入和 AI 回复。
  • 其中一些扩展还带有 “Featured” 徽章

结果: 用户安装这些扩展是为了提升隐私保护,却在未明确同意的情况下让 AI 对话被变现并记录。

企业扩展风险

2025 年的一份企业浏览器扩展安全报告显示:

指标发现情况
扩展采用率99 % 的企业用户至少安装了一个浏览器扩展
扩展数量超过 50 % 的用户同时运行 10 个以上扩展
高风险权限53 % 的用户拥有至少一个具备“高”或“关键”权限范围的扩展(可访问 Cookie、密码、浏览数据、完整页面内容)

对于依赖 AI 驱动生产力的组织——从临床研究机构到软件团队——这意味着 几乎每位员工都可能通过浏览器扩展成为攻击向量

为什么这对每天使用 AI 的专业人士很重要

如果您是使用 AI 作为核心工具的网页开发者、临床研究员或知识工作者,这些攻击会直接影响:

  • 工作产出(被盗的代码、草稿或分析)
  • 合规义务(HIPAA、GDPR、公司政策)
  • 患者或客户的机密性

高风险使用场景

当您进行以下操作时,尤其容易受到威胁:

  • 将内部代码、凭证或基础设施细节粘贴到 ChatGPT、DeepSeek 或 Perplexity 中。
  • 在 AI 工具中概括内部 SOP、研究方案或监管文件。
  • 使用 AI 起草协议、人力资源决策或其他敏感的公司材料。

构建更安全的 AI 工作流(usebetterai.com‑style Practices)

  1. 审计已安装的扩展 – 定期检查并移除任何不经常使用的扩展,尤其是拥有广泛权限的扩展。
  2. 优先选择 “Verified” 而非 “Featured” – 寻找已通过第三方安全审计或由可信供应商发布的扩展。
  3. 遵循最小权限原则 – 禁用或限制请求 “读取并更改您访问的所有网站数据” 的扩展,除非绝对必要。
  4. 使用隔离的浏览器配置文件 – 将 AI 助手工具放在专用的配置文件中,且不安装额外扩展。
  5. 利用企业级扩展管理 – 通过组织的策略引擎(例如 Chrome Enterprise 策略)部署经过白名单批准的扩展。
  6. 监控网络流量 – 为未知域名的外发连接设置警报(例如 *.deepaichats.com*.chatsaigpt.com)。
  7. 在本地加密 AI 提示 – 如有可能,在将敏感提示发送至 AI 服务前先进行加密,或使用永不离开网络的本地部署 LLM。
  8. 对团队进行教育 – 定期开展安全简报,说明浏览器扩展的风险以及安全使用 AI 工具的方法。

快速检查清单

  • 检查所有 Chrome/Edge 扩展并移除不必要的。
  • 验证每个剩余扩展的发布者和权限集合。
  • 若管理设备群组,启用 “仅限企业批准的扩展” 策略。
  • 为已知恶意 C2 域名设置 DNS/URL 过滤。
  • 每季度进行一次 AI 相关威胁的安全意识培训。

要点:浏览器扩展——即使是标记为 “Featured” 或 “Privacy‑focused” 的扩展——也可能成为 AI 对话的隐蔽数据窃取工具。通过审计扩展、收紧权限并采用安全优先的 AI 工作流,您可以保护知识产权、合规姿态以及所服务对象的隐私。

# Communications

When malicious extensions scrape AI conversations, they gain:

- Internal naming conventions, URLs, and system structures.  
- Business strategy and research plans.  
- Potentially identifiable fragments that, when combined, may violate contracts or regulations.

As AI becomes a core productivity layer in 2026, attackers are following the data.

Read more at [usebetterai](https://usebetterai.com/malicious-chrome-extensions-steal-ai-chats-2026).
Back to Blog

相关文章

阅读更多 »