Chrome Web Store「推薦」徽章失守　假 AI Sidebar 偷走近百萬用戶聊天紀錄

根據 OX Security 公布的調查，事件涉及兩款擴充功能，分別為《Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI》及《AI Sidebar with Deepseek, ChatGPT, Claude and more》。這些擴充功能表面上主打整合 ChatGPT、DeepSeek 等 AI 服務，實際卻在背景進行大規模資料外洩。

報告指出，其中一款擴充功能更曾獲得 Chrome Web Store 的「推薦」徽章，令不少用戶誤信其安全性。兩款擴充功能會刻意模仿合法 AI 工具 AITOPIA 的介面設計，以降低用戶戒心。

在技術層面上，這些擴充功能於安裝後，會要求用戶同意收集「匿名分析數據」，但實際卻每 30 分鐘自動擷取完整 AI 對話內容，以及所有已開啟的瀏覽器網址，並傳送至外部伺服器。研究人員確認，外流資料同時包括用戶輸入內容及 AI 回覆內容。

事件並非單一個案。報告亦提及，早前被揭發的 Urban VPN 及 1Click Proxy，同樣曾出現大量用戶資料及聊天紀錄被外傳的情況，當中亦有擴充功能曾掛上官方推薦標誌，進一步動搖用戶對平台審核機制的信任。

雖然相關問題已通報 Google，但在調查初期，部分問題擴充功能仍一度維持上架狀態。調查亦發現，幕後人士利用 Lovable 等網頁平台架設基礎設施及偽造私隱政策，增加追查難度。

研究團隊提醒，若用戶曾安裝上述擴充功能，應立即移除。需特別注意的是，相關惡意程式在嘗試移除時，會自動開啟新分頁，誘導用戶安裝另一款同類惡意擴充功能。