Một tiện ích mở rộng Google Chrome có huy hiệu "Featured" và sáu triệu người dùng đã bị phát hiện bí mật thu thập mọi lời nhắc (prompt) mà người dùng nhập vào các chatbot AI như OpenAI ChatGPT, Anthropic Claude, Microsoft Copilot, DeepSeek, Google Gemini, xAI Grok, Meta AI và Perplexity.
Tiện ích mở rộng được đề cập là Urban VPN Proxy, có xếp hạng 4.7 trên Cửa hàng Chrome trực tuyến. Nó được quảng cáo là "quyền truy cập VPN miễn phí an toàn nhất vào bất kỳ trang web nào và bỏ chặn nội dung". Nhà phát triển của nó là một công ty có trụ sở tại Delaware tên là Urban Cyber Security Inc. Trên chợ tiện ích bổ sung Microsoft Edge, nó có 1.3 triệu lượt cài đặt.
Mặc dù tuyên bố cho phép người dùng "bảo vệ danh tính trực tuyến, giữ an toàn và ẩn IP của bạn", tiện ích mở rộng này đã được cập nhật vào ngày 9 tháng 7 năm 2025, khi phiên bản 5.5.0 được phát hành với tính năng thu thập dữ liệu AI được kích hoạt mặc định bằng cài đặt được mã hóa cứng (hard-coded settings).
Cụ thể, điều này được thực hiện thông qua một JavaScript thực thi (executor JavaScript) được tùy chỉnh, kích hoạt cho mỗi chatbot AI (tức là chatgpt.js, claude.js, gemini.js) để chặn và thu thập các cuộc trò chuyện mỗi khi người dùng đã cài đặt tiện ích mở rộng truy cập bất kỳ nền tảng mục tiêu nào.
Khi script được tiêm (injected), nó sẽ ghi đè lên các API trình duyệt được sử dụng để xử lý các yêu cầu mạng – fetch() và XMLHttpRequest() – để đảm bảo rằng mọi yêu cầu đều được định tuyến qua mã của tiện ích mở rộng trước tiên, nhằm thu thập dữ liệu cuộc trò chuyện, bao gồm các lời nhắc (prompts) của người dùng và phản hồi của chatbot, sau đó gửi chúng ra ngoài (exfiltrate) đến hai máy chủ từ xa ("analytics.urban-vpn[.]com" và "stats.urban-vpn[.]com").
Dữ liệu bị thu thập
Danh sách chính xác các dữ liệu bị tiện ích mở rộng thu thập bao gồm -
- Lời nhắc (prompts) do người dùng nhập
- Phản hồi của Chatbot
- Mã định danh cuộc trò chuyện và dấu thời gian
- Siêu dữ liệu phiên (Session metadata)
- Nền tảng AI và mô hình được sử dụng
"Các tiện ích mở rộng Chrome và Edge tự động cập nhật theo mặc định," Idan Dardikman của Koi Security cho biết trong một báo cáo được công bố hôm nay. "Người dùng đã cài đặt Urban VPN với mục đích đã nêu – chức năng VPN – một ngày nọ thức dậy với mã mới bí mật thu thập các cuộc trò chuyện AI của họ."
Điều đáng nói là chính sách quyền riêng tư cập nhật của Urban VPN, tính đến ngày 25 tháng 6 năm 2025, có đề cập rằng họ thu thập dữ liệu này để tăng cường tính năng Safe Browsing và cho mục đích phân tích tiếp thị, và bất kỳ mục đích sử dụng thứ cấp nào khác của các lời nhắc (AI prompts) được thu thập sẽ được thực hiện trên dữ liệu đã được ẩn danh và loại bỏ nhận dạng (de-identified and anonymized data) -
Là một phần của Dữ liệu Duyệt web (Browsing Data), chúng tôi sẽ thu thập các lời nhắc (prompts) và kết quả (outputs) do Người dùng cuối yêu cầu hoặc do nhà cung cấp chat AI tạo ra, tùy từng trường hợp. Tức là, chúng tôi chỉ quan tâm đến lời nhắc AI và kết quả tương tác của bạn với AI chat.
Do bản chất của dữ liệu liên quan đến lời nhắc AI, một số thông tin cá nhân nhạy cảm có thể được xử lý. Tuy nhiên, mục đích của việc xử lý này không phải là thu thập dữ liệu cá nhân hoặc có thể nhận dạng, chúng tôi không thể đảm bảo hoàn toàn việc loại bỏ tất cả thông tin nhạy cảm hoặc cá nhân, chúng tôi thực hiện các biện pháp để lọc bỏ hoặc loại bỏ bất kỳ thông tin nhận dạng hoặc dữ liệu cá nhân nào bạn có thể gửi thông qua các lời nhắc và để loại bỏ nhận dạng (de-identify) và tổng hợp dữ liệu.
Một trong những bên thứ ba mà tiện ích mở rộng này chia sẻ "Dữ liệu Duyệt web (Web Browsing Data)" là một công ty tình báo quảng cáo và giám sát thương hiệu liên kết có tên BIScience. Công ty này sử dụng dữ liệu thô (chưa được ẩn danh) để tạo ra các thông tin chi tiết được "sử dụng thương mại và chia sẻ với các Đối tác Kinh doanh (Business Partners)," nhà sản xuất phần mềm VPN lưu ý.
Đáng chú ý, BIScience, công ty cũng sở hữu Urban Cyber Security Inc., đã bị một nhà nghiên cứu ẩn danh lên tiếng vào tháng 1 năm nay vì thu thập lịch sử duyệt web của người dùng, hay còn gọi là dữ liệu clickstream, dưới vỏ bọc các tiết lộ chính sách quyền riêng tư gây hiểu lầm.
Công ty này bị cáo buộc cung cấp một bộ công cụ phát triển phần mềm (SDK) cho các nhà phát triển tiện ích mở rộng bên thứ ba đối tác để thu thập dữ liệu clickstream từ người dùng, dữ liệu này được truyền đến sclpfybn[.]com và các điểm cuối (endpoints) khác thuộc quyền kiểm soát của nó.
"BIScience và các đối tác lợi dụng các lỗ hổng trong chính sách của Cửa hàng Chrome trực tuyến, chủ yếu là các trường hợp ngoại lệ được liệt kê trong chính sách Limited Use, đây là 'các trường hợp sử dụng được phê duyệt'," nhà nghiên cứu lưu ý, đồng thời cho biết thêm rằng họ "phát triển các tính năng hướng đến người dùng mà bị cáo buộc yêu cầu quyền truy cập vào lịch sử duyệt web, để viện dẫn ngoại lệ 'cần thiết để cung cấp hoặc cải thiện mục đích duy nhất của bạn'."
Trên trang danh sách tiện ích mở rộng, Urban VPN cũng làm nổi bật tính năng "bảo vệ AI", tính năng này cho biết sẽ kiểm tra các lời nhắc (prompts) về dữ liệu cá nhân, phản hồi của chatbot về các liên kết đáng ngờ hoặc không an toàn, và hiển thị cảnh báo trước khi người dùng gửi lời nhắc hoặc nhấp vào chúng.
Mặc dù tính năng giám sát này được trình bày như là việc ngăn chặn người dùng vô tình chia sẻ bất kỳ thông tin cá nhân nào, điều mà các nhà phát triển không đề cập là việc thu thập dữ liệu vẫn diễn ra bất kể tính năng này có được bật hay không.
"Tính năng bảo vệ hiển thị các cảnh báo không thường xuyên về việc chia sẻ dữ liệu nhạy cảm với các công ty AI," Dardikman cho biết. "Tính năng thu thập dữ liệu gửi chính xác dữ liệu nhạy cảm đó - và mọi thứ khác - đến các máy chủ của Urban VPN, nơi nó được bán cho các nhà quảng cáo. Tiện ích mở rộng cảnh báo bạn về việc chia sẻ email với ChatGPT trong khi đồng thời gửi toàn bộ cuộc trò chuyện của bạn ra ngoài (exfiltrating) đến một nhà môi giới dữ liệu (data broker)."
Các tiện ích mở rộng liên quan khác
Koi Security cho biết họ đã quan sát thấy chức năng thu thập dữ liệu AI tương tự trong ba tiện ích mở rộng độc đáo khác từ cùng một nhà xuất bản trên Chrome và Microsoft Edge, nâng tổng số lượt cài đặt lên hơn tám triệu -
- 1ClickVPN Proxy
- Urban Browser Guard
- Urban Ad Blocker
Tất cả các tiện ích mở rộng này, ngoại trừ Urban Ad Blocker cho Edge, đều mang huy hiệu "Featured", tạo cho người dùng ấn tượng rằng chúng tuân thủ "các thực hành tốt nhất của nền tảng và đáp ứng tiêu chuẩn cao về trải nghiệm người dùng và thiết kế".
"Những huy hiệu này báo hiệu cho người dùng rằng các tiện ích mở rộng đã được xem xét và đáp ứng các tiêu chuẩn chất lượng của nền tảng," Dardikman chỉ ra. "Đối với nhiều người dùng, huy hiệu Featured là sự khác biệt giữa việc cài đặt một tiện ích mở rộng và bỏ qua nó - đó là một sự chứng thực ngụ ý từ Google và Microsoft."
Những phát hiện này một lần nữa cho thấy cách lòng tin liên quan đến các chợ tiện ích mở rộng (extension marketplaces) có thể bị lạm dụng để thu thập dữ liệu nhạy cảm trên quy mô lớn, đặc biệt là vào thời điểm mà người dùng đang ngày càng chia sẻ thông tin cá nhân sâu sắc, nhận lời khuyên và thảo luận cảm xúc với các chatbot AI.
The Hacker News đã liên hệ với cả Google và Microsoft để xin bình luận, và chúng tôi sẽ cập nhật câu chuyện nếu nhận được phản hồi.
