Các nhà nghiên cứu an ninh mạng đã phát hiện hai tiện ích mở rộng độc hại mới trên Chrome Web Store được thiết kế để đánh cắp các cuộc trò chuyện OpenAI ChatGPT và DeepSeek cùng với dữ liệu duyệt web, sau đó chuyển đến các máy chủ dưới sự kiểm soát của kẻ tấn công.
Tên của các tiện ích mở rộng này, với tổng cộng hơn 900.000 người dùng, như sau:
- Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI (ID: fnmihdojmnkclgjpcoonokmkhjpjechg, 600.000 người dùng)
- AI Sidebar with Deepseek, ChatGPT, Claude, and more. (ID: inhcgfpbfdjbjogdfjbclgolkmhnooop, 300.000 người dùng)
Phát hiện này được đưa ra vài tuần sau khi Urban VPN Proxy, một tiện ích mở rộng khác với hàng triệu lượt cài đặt trên Google Chrome và Microsoft Edge, đã bị phát hiện đang theo dõi các cuộc trò chuyện của người dùng với các chatbot AI. Taktik sử dụng tiện ích mở rộng trình duyệt để bí mật thu thập các cuộc trò chuyện AI đã được Secure Annex đặt tên là Prompt Poaching.
Hai tiện ích mở rộng mới được xác định "được tìm thấy đang đánh cắp các cuộc trò chuyện của người dùng và tất cả các URL tab Chrome đến một máy chủ C2 từ xa mỗi 30 phút", nhà nghiên cứu Moshe Siman Tov Bustan của OX Security cho biết. "Malware này bổ sung các khả năng độc hại bằng cách yêu cầu sự đồng ý cho 'dữ liệu phân tích ẩn danh, không thể nhận dạng' trong khi thực sự đánh cắp toàn bộ nội dung cuộc trò chuyện từ các phiên ChatGPT và DeepSeek."
Các tiện ích bổ sung trình duyệt độc hại này đã được phát hiện mạo danh một tiện ích mở rộng hợp pháp có tên "Chat with all AI models (Gemini, Claude, DeepSeek...) & AI Agents" từ AITOPIA, với khoảng 1 triệu người dùng. Chúng vẫn có sẵn để tải xuống từ Chrome Web Store tính đến thời điểm viết bài, mặc dù "Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI" đã bị gỡ bỏ huy hiệu "Featured" của nó.
Sau khi được cài đặt, các tiện ích mở rộng giả mạo này yêu cầu người dùng cấp quyền để thu thập hành vi duyệt web ẩn danh nhằm mục đích cải thiện trải nghiệm thanh bên. Nếu người dùng đồng ý, malware được nhúng sẽ bắt đầu thu thập thông tin về các tab trình duyệt đang mở và dữ liệu cuộc trò chuyện chatbot.
Để thực hiện điều này, nó tìm kiếm các phần tử DOM cụ thể bên trong trang web, trích xuất tin nhắn trò chuyện và lưu trữ chúng cục bộ để sau đó đánh cắp đến các máy chủ từ xa ("chatsaigpt[.]com" hoặc "deepaichats[.]com").
Hơn nữa, các tác nhân đe dọa đã được phát hiện lợi dụng Lovable, một nền tảng phát triển web được hỗ trợ bởi AI, để lưu trữ các chính sách quyền riêng tư và các thành phần hạ tầng khác của chúng ("chataigpt[.]pro" hoặc "chatgptsidebar[.]pro") nhằm che giấu hành vi của mình.
Hậu quả của việc cài đặt các tiện ích bổ sung như vậy có thể rất nghiêm trọng, vì chúng có khả năng đánh cắp nhiều thông tin nhạy cảm, bao gồm dữ liệu được chia sẻ với các chatbot như ChatGPT và DeepSeek, cũng như hoạt động duyệt web, bao gồm các truy vấn tìm kiếm và URL nội bộ của công ty.
"Dữ liệu này có thể bị vũ khí hóa cho mục đích gián điệp công ty, đánh cắp danh tính, các chiến dịch lừa đảo (phishing) có mục tiêu, hoặc được bán trên các diễn đàn ngầm," OX Security cho biết. "Các tổ chức có nhân viên cài đặt các tiện ích mở rộng này có thể đã vô tình làm lộ tài sản trí tuệ, dữ liệu khách hàng và thông tin kinh doanh bí mật."
Các tiện ích mở rộng hợp pháp cũng tham gia Prompt Poaching
Thông tin này được đưa ra khi Secure Annex cho biết họ đã xác định các tiện ích mở rộng trình duyệt hợp pháp như Similarweb và Stayfocusd của Sensor Tower – mỗi tiện ích có lần lượt 1 triệu và 600.000 người dùng – cũng tham gia vào hoạt động prompt poaching.
Similarweb được cho là đã giới thiệu khả năng giám sát các cuộc trò chuyện vào tháng 5 năm 2025, với bản cập nhật ngày 1 tháng 1 năm 2026 bổ sung một cửa sổ bật lên đầy đủ các điều khoản dịch vụ, nêu rõ rằng dữ liệu nhập vào các công cụ AI đang được thu thập để "cung cấp phân tích chuyên sâu về lưu lượng truy cập và các chỉ số tương tác". Một cập nhật chính sách quyền riêng tư ngày 30 tháng 12 năm 2025 cũng nêu rõ điều này:
Thông tin này bao gồm các prompt, truy vấn, nội dung, tệp đã tải lên hoặc đính kèm (ví dụ: hình ảnh, video, văn bản, tệp CSV) và các đầu vào khác mà bạn có thể nhập hoặc gửi cho một số công cụ AI nhất định, cũng như kết quả hoặc các đầu ra khác (bao gồm bất kỳ tệp đính kèm nào có trong các đầu ra đó) mà bạn có thể nhận được từ các công cụ AI đó ("AI Inputs and Outputs").
Xem xét bản chất và phạm vi chung của AI Inputs and Outputs và AI Metadata điển hình cho các công cụ AI, một số Sensitive Data có thể bị thu thập hoặc xử lý ngoài ý muốn. Tuy nhiên, mục đích của việc xử lý không phải là thu thập Personal Data để có thể nhận dạng bạn. Mặc dù chúng tôi không thể đảm bảo rằng tất cả Personal Data được xóa, chúng tôi vẫn thực hiện các bước, nếu có thể, để loại bỏ hoặc lọc bỏ các định danh mà bạn có thể nhập hoặc gửi cho các công cụ AI này.
Phân tích sâu hơn đã tiết lộ rằng Similarweb sử dụng DOM scraping hoặc chiếm quyền điều khiển các API trình duyệt gốc như fetch() và XMLHttpRequest() – tương tự trường hợp của Urban VPN Proxy – để thu thập dữ liệu cuộc trò chuyện bằng cách tải một tệp cấu hình từ xa bao gồm logic phân tích tùy chỉnh cho ChatGPT, Anthropic Claude, Google Gemini và Perplexity.
John Tuckner của Secure Annex nói với The Hacker News rằng hành vi này phổ biến ở cả phiên bản Chrome và Edge của tiện ích mở rộng Similarweb. Tiện ích bổ sung Firefox của Similarweb được cập nhật lần cuối vào năm 2019.
"Rõ ràng Prompt Poaching đã xuất hiện để nắm bắt những cuộc trò chuyện nhạy cảm nhất của bạn và các tiện ích mở rộng trình duyệt là vector khai thác," Tuckner nói. "Không rõ liệu điều này có vi phạm các chính sách của Google rằng các tiện ích mở rộng nên được xây dựng cho một mục đích duy nhất và không tải mã một cách linh hoạt hay không."
"Đây chỉ là khởi đầu của xu hướng này. Nhiều công ty sẽ bắt đầu nhận ra những thông tin này có lợi nhuận. Các nhà phát triển tiện ích mở rộng tìm cách kiếm tiền sẽ thêm các thư viện phức tạp như thư viện được cung cấp bởi các công ty tiếp thị vào ứng dụng của họ."
Người dùng đã cài đặt các tiện ích bổ sung này và lo ngại về quyền riêng tư của mình được khuyên nên gỡ bỏ chúng khỏi trình duyệt và tránh cài đặt các tiện ích mở rộng từ các nguồn không xác định, ngay cả khi chúng có huy hiệu "Featured".
