كشفت أبحاث حديثة عن قيام إضافة متصفح شهيرة من جوجل كروم، تحمل شعار “مميزة” ولديها أكثر من 6 ملايين تثبيت، بجمع وبيع محادثات المستخدمين مع منصات الذكاء الاصطناعي الكبرى سراً. تحمل الإضافة اسم Urban VPN Proxy، والتي غالباً ما يستخدمها المستفيدون كأداة لزيادة الخصوصية والأمان.
تُقدم الإضافة نفسها كحل لتعزيز خصوصية المستخدمين وأمانهم على الإنترنت، بينما تقوم في الوقت ذاته بالتقاط وبيع بيانات حساسة من محادثاتهم مع أدوات الذكاء الاصطناعي الرائدة مثل ChatGPT، Claude، Gemini، Microsoft Copilot، Perplexity، DeepSeek، Grok، و Meta AI.
اختراق خصوصية المستخدمين عبر إضافات المتصفح
يُظهر هذا الاكتشاف مدى سهولة استغلال إضافات المتصفح للوصول الممنوح لها لتجاوز آليات الأمان المعتادة. فقد منح المستخدمون، الذين قاموا بتثبيت هذه الإضافة بهدف استخدامها كشبكة افتراضية خاصة (VPN)، الإذن لها بشكل غير مباشر بمراقبة محادثاتهم الرقمية الأكثر خصوصية.
تعمل آلية جمع البيانات هذه بشكل مستقل عن خدمة VPN نفسها، مما يعني أن البيانات مستمرة في الجمع سواء كانت شبكة VPN متصلة أم لا، وهو ما يزيد من خطورة الموقف.
يعتبر هذا انتهاكاً كبيراً لثقة المستخدمين، خاصة وأن الإضافة كانت معتمدة و”مميزة” على متجر جوجل كروم الرسمي، وتحظى بتقييم عالٍ يصل إلى 4.7 نجوم بناءً على آلاف التقييمات.
تفاصيل عمليات جمع البيانات
وفقاً للباحثين، فإن البرمجيات الخبيثة لم تكن جزءاً من الإضافة منذ بدايتها، بل تم إضافتها عبر تحديث صامت في يوليو 2025، وتحديداً مع الإصدار 5.5.0. وهذا يعني أن المستخدمين الذين قاموا بتثبيت الإضافة قبل هذا التاريخ لم يتلقوا أي تحذير بشأن هذه القدرة الجديدة على جمع البيانات.
تقوم الإضافة بمعالجة كل “استعلام” (prompt) يتم إرساله إلى خدمات الذكاء الاصطناعي، بالإضافة إلى التقاط الردود الكاملة، ومعرفات المحادثات، وطوابع الوقت، وبيانات الوصف (metadata) الخاصة بالجلسة.
تتدفق جميع المعلومات التي تم استخلاصها إلى خوادم Urban VPN عبر عناوين مثل analytics.urban-vpn.com و stats.urban-vpn.com، حيث يتم بيعها لأغراض تحليل التسويق عبر ارتباطات مع شركة BiScience، وهي شركة معروفة في مجال بيع البيانات.
يمتد نطاق التهديد هذا إلى ما هو أبعد من Urban VPN Proxy نفسها. حيث تحتوي سبع إضافات أخرى من نفس الناشر على نفس الشيفرة الخبيثة لجمع البيانات، مما يؤثر مجتمعة على أكثر من 8 ملايين مستخدم عبر متصفحي جوجل كروم ومايكروسوفت إيدج.
تعمل هذه الإضافات تحت أسماء منتجات مختلفة مثل 1ClickVPN Proxy، Urban Browser Guard، و Urban Ad Blocker. ومع ذلك، فإنها جميعاً توجه البيانات المجمعة عبر نفس البنية التحتية للمراقبة.
الآلية التقنية وراء جمع البيانات
تتبع عملية جمع البيانات التي تقوم بها هذه الإضافة عملية معقدة من أربع خطوات، توضح مدى اندماج الشيفرة الضارة بعمق في وظائف المتصفح. فعندما يزور المستخدمون أي منصة ذكاء اصطناعي مستهدفة، تقوم الإضافة بحقن نصوص برمجية (scripts) مخصصة في الصفحات.
تستخدم الإضافة نصوصاً مثل chatgpt.js لمنصة ChatGPT، و claude.js لمنصة Claude، و gemini.js لمنصة Gemini. بعد ذلك، تقوم هذه النصوص البرمجية بحقن (override) واجهات برمجة التطبيقات (APIs) الأساسية للمتصفح التي تتعامل مع حركة البيانات.
وبشكل أكثر دقة، تقوم الإضافة بتغليف وظائف fetch() و XMLHttpRequest، لاعتراض كل طلب واستجابة شبكة قبل أن يقوم المتصفح بعرض المعلومات للمستخدمين. يضمن هذا الأسلوب أن تلتقط الإضافة بيانات واجهة برمجة التطبيقات الأولية التي تحتوي على المحادثات الكاملة، والتي تقوم بتحليلها لاستخلاص الاستعلامات، والاستجابات، والمعرفات، والبيانات الوصفية.
تُجمع المعلومات المجمعة ويتم إرسالها عبر window.postMessage إلى نص المحتوى الخاص بالإضافة (content script) باستخدام المعرف PANELOS_MESSAGE. وأخيراً، يقوم عامل خدمة الخلفية (background service worker) بضغط هذه البيانات وإرسالها إلى خوادم Urban VPN الخارجية.
تكمن الخدعة في ميزة “الحماية من الذكاء الاصطناعي” المعلنة للإضافة، والتي توحي بأنها تراقب المحادثات لتحذير المستخدمين من مشاركة المعلومات الحساسة عن طريق الخطأ. ومع ذلك، فإن هذه الحماية تعمل بشكل مستقل تماماً عن وظيفة جمع البيانات، ولا يؤثر تفعيلها أو إلغاء تفعيلها على ما إذا كان يتم التقاط المحادثات وبيعها لأطراف ثالثة.