Đoạn hội thoại AI của 8 triệu người dùng bị bán kiếm lời bởi các tiện ích mở rộng ‘quyền riêng tư’

 (koi.ai)
2 điểm bởi GN⁺ 2025-12-17 | 1 bình luận | Chia sẻ qua WhatsApp
  • Đã xác nhận 8 tiện ích mở rộng trình duyệt như Urban VPN Proxy đã thu thập và bán nội dung hội thoại trên các nền tảng AI
  • Các tiện ích này tự động thu thập dữ liệu hội thoại của 10 dịch vụ AI như ChatGPT, Claude, Gemini, Copilot, và không có tùy chọn để người dùng tắt tính năng này
  • Việc thu thập dữ liệu liên tục chạy ngầm không liên quan đến chức năng VPN, và toàn bộ prompt, phản hồi, dấu thời gian, thông tin phiên đều bị gửi đi
  • Công ty vận hành Urban Cyber Security Inc. và công ty liên kết BiScience đã bán dữ liệu này cho bên thứ ba phục vụ phân tích marketing
  • Các tiện ích đã vượt qua quy trình xác minh huy hiệu ‘Featured’ của Google và Microsoft nhưng vẫn được phát hành trong nhiều tháng, cho thấy lỗ hổng trong hệ thống bảo vệ người dùng

Quá trình phát hiện

  • Wings AI Risk Engine của Koi đã dò tìm các tiện ích mở rộng trình duyệt có thể gửi dữ liệu hội thoại AI ra bên ngoài, và trái với dự đoán, Urban VPN Proxy với lượng người dùng rất lớn nằm trong nhóm đầu
  • Urban VPN Proxy là tiện ích VPN miễn phí có hơn 6 triệu người dùng, điểm đánh giá 4.7, và huy hiệu ‘Featured’ của Google, đồng thời quảng bá về bảo vệ quyền riêng tư
  • Kết quả điều tra cho thấy tiện ích này được phát hành với chức năng nghe lén hội thoại trên nền tảng AI được bật mặc định

Cách thức thu thập

  • Tiện ích liên tục thu thập dữ liệu bất kể có kết nối VPN hay không
  • Khi người dùng truy cập các trang AI như ChatGPT, Claude, Gemini, tiện ích sẽ chèn các script chuyên dụng (chatgpt.js, claude.js v.v.)
  • Các script này ghi đè fetch()XMLHttpRequest để chặn mọi yêu cầu và phản hồi mạng, rồi trích xuất prompt, phản hồi, ID hội thoại, dấu thời gian
  • Dữ liệu đã trích xuất được chuyển tới content script qua window.postMessage, sau đó background worker gửi lên máy chủ của Urban VPN (analytics.urban-vpn.com v.v.)
  • Dữ liệu bị thu thập bao gồm mọi đầu vào/đầu ra, metadata phiên, thông tin về model đang dùng

Dòng thời gian phiên bản

  • Các phiên bản trước 5.5.0 không có chức năng thu thập AI
  • Từ phiên bản 5.5.0 phát hành ngày 9 tháng 7 năm 2025, việc thu thập hội thoại AI được bật mặc định
  • Sau đó, thông qua cập nhật tự động, ngay cả người dùng hiện có cũng bị thêm mã thu thập dữ liệu mà không có sự đồng ý riêng
  • Người dùng đã sử dụng dịch vụ AI trong khi cài Urban VPN từ sau tháng 7 năm 2025 được xem là đã có nội dung hội thoại bị lưu trên máy chủ và chia sẻ với bên thứ ba

Thực chất của tính năng ‘bảo vệ AI’

  • Phần mô tả tiện ích ghi rằng “tính năng bảo vệ AI ngăn rò rỉ thông tin cá nhân và cảnh báo liên kết nguy hiểm”
  • Tuy nhiên, phân tích mã nguồn thực tế cho thấy chức năng cảnh báo và chức năng thu thập dữ liệu hoạt động tách biệt, và dù tắt cảnh báo thì việc thu thập vẫn tiếp diễn
  • Tiện ích cảnh báo khi người dùng chia sẻ email hoặc số điện thoại, nhưng đồng thời lại gửi chính dữ liệu đó lên máy chủ Urban VPN
  • Nói cách khác, đây được xác nhận là cấu trúc trích xuất dữ liệu ngụy trang dưới danh nghĩa bảo vệ

Mã giống nhau lan rộng

  • Cùng một đoạn mã thu thập AI đã được phát hiện trong 7 tiện ích mở rộng khác
    • Chrome: Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard, Urban Ad Blocker
    • Edge: cùng 4 loại trên
  • Tổng cộng hơn 8 triệu người dùng bị ảnh hưởng
  • Các tiện ích này được ngụy trang dưới nhiều danh mục khác nhau như VPN, trình chặn quảng cáo, trợ lý bảo mật, nhưng lại dùng chung một backend giám sát
  • Phần lớn đều mang huy hiệu ‘Featured’ của cửa hàng Google và Microsoft, và được phân phối trong trạng thái đã giành được niềm tin của người dùng

Công ty vận hành và luồng dữ liệu

  • Urban VPN do Urban Cyber Security Inc. vận hành, và có quan hệ hợp tác với data broker BiScience (B.I Science Ltd.)
  • BiScience trước đây cũng từng thu hút sự chú ý của các nhà nghiên cứu bảo mật vì thu thập và bán lại dữ liệu clickstream
  • BiScience thương mại hóa dữ liệu thu thập được thông qua các sản phẩm như AdClarity, Clickstream OS
  • Vụ việc lần này là sự mở rộng từ thu thập lịch sử duyệt web sang thu thập hội thoại AI
  • Trong chính sách xử lý thông tin cá nhân có nêu rõ: “dữ liệu duyệt web được thu thập sẽ được chia sẻ với BiScience và được sử dụng cho các insight thương mại”

Vấn đề thông báo cho người dùng

  • Trong popup xin đồng ý hiển thị khi cài đặt có nhắc đến “xử lý liên lạc ChatAI”, nhưng không giải thích rõ mục đích thu thập hội thoại AI
  • Chính sách quyền riêng tư có chứa câu rằng “dữ liệu đầu vào và đầu ra AI được công khai cho mục đích phân tích marketing”
  • Trong khi đó, mô tả trên Chrome Web Store lại ghi rõ “dữ liệu không được bán cho bên thứ ba”, tạo ra thông tin mâu thuẫn
  • Những người đã cài đặt trước tháng 7 năm 2025 không hề thấy popup xin đồng ý mới, nhưng vẫn bị thêm chức năng thu thập thông qua cập nhật tự động
  • Người dùng không có quyền lựa chọn chỉ vô hiệu hóa việc thu thập AI; ngay cả khi tắt VPN hoặc tắt tính năng bảo vệ, việc thu thập vẫn tiếp tục

Vấn đề trong quy trình xác minh của Google

  • Urban VPN Proxy có huy hiệu ‘Featured’ của Google Chrome Web Store
  • Google giải thích huy hiệu này được “trao cho các tiện ích đáp ứng thực tiễn kỹ thuật tốt nhất và tiêu chuẩn trải nghiệm người dùng cao”
  • Điều đó có nghĩa là mã thu thập hội thoại AI đã được đưa vào trong trạng thái đã vượt qua vòng rà soát thủ công của Google
  • Chính sách của Chrome Web Store cấm chuyển dữ liệu người dùng cho data broker hoặc nền tảng quảng cáo, nhưng BiScience tự định nghĩa mình là một data broker
  • Dù vậy, tiện ích vẫn đang được đăng trên store

Kết luận và khuyến nghị

  • Tiện ích mở rộng trình duyệt đòi hỏi mức độ tin cậy cao vì có quyền hạn rộng và khả năng tự động cập nhật
  • Vụ việc lần này là sự cố dữ liệu hội thoại AI nhạy cảm ở quy mô 8 triệu người bị thu thập và bán dưới danh nghĩa ‘bảo mật’
  • Đây được chỉ ra là trường hợp hệ thống xác minh của Google và Microsoft góp phần tạo ảo giác tin cậy hơn là bảo vệ người dùng
  • Người dùng nên xóa ngay Urban VPN và các tiện ích liên quan, đồng thời cân nhắc khả năng các cuộc hội thoại AI từ sau tháng 7 năm 2025 đã bị chia sẻ cho bên thứ ba

IOC(Indicator of Compromise)

  • Chrome: Urban VPN Proxy (eppiocemhmnlbhjplcgkofciiegomcon), Urban Browser Guard (almalgbpmcfpdaopimbdchdliminoign), Urban Ad Blocker (feflcgofneboehfdeebcfglbodaceghj), 1ClickVPN Proxy (pphgdbgldlmicfdkhondlafkiomnelnk)
  • Edge: Urban VPN Proxy (nimlmejbmnecnaghgmbahmbaddhjbecg), Urban Browser Guard (jckkfbfmofganecnnpfndfjifnimpcel), Urban Ad Blocker (gcogpdjkkamgkakkjgeefgpcheonclca), 1ClickVPN Proxy (deopfbighgnpgfmhjeccdifdmhcjckoe)

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-12-17
Ý kiến trên Hacker News

  • Tôi chỉ dùng các tiện ích mở rộng được Mozilla khuyến nghị
    Chương trình này chỉ gồm những tiện ích đã được các chuyên gia bảo mật của Mozilla trực tiếp rà soát mã nguồn
    Google không muốn thuê người, nhưng ở những mảng như thế này thì con mắt con người chứ không phải quét tự động là thứ bắt buộc
    Mozilla Recommended Extensions Program

    • Giới chuyên gia IT hay power user có thể làm vậy, nhưng người dùng phổ thông rất dễ bị các mô tả tính năng hào nhoáng đánh lừa để cài tiện ích độc hại
      Tấn công social engineering không thể bị chặn chỉ bằng biện pháp kỹ thuật; rốt cuộc либо nhận thức bảo mật của người dùng phổ thông phải tăng lên, hoặc sẽ có nguy cơ các thiết bị điện toán ngày càng chuyển sang cấu trúc khép kín hơn
    • Nếu muốn kỹ hơn thì cũng có thể tự giải nén file XPI để rà soát mã nguồn
      Nếu là tiện ích chức năng đơn giản mà mã lại phức tạp quá mức thì nên nghi ngờ
      Khi nào tiện ích chuyển thành blob đóng thì đó là lúc nên bỏ chạy
    • Nhưng tôi nghi ngờ việc Mozilla có thực sự xem xét mọi bản cập nhật hay không
      Nếu chỉ duyệt một lần rồi các bản cập nhật sau đó thêm chức năng độc hại mà vẫn giữ huy hiệu “Recommended” thì rất nguy hiểm
    • Hầu hết codebase đều có hàng triệu dòng nên việc rà soát thủ công gần như bất khả thi
      Với những thứ được biên dịch từ ngôn ngữ như TypeScript, kể cả có mã nguồn gốc thì quá trình build cũng phức tạp nên khó xác minh
      Mã độc sẽ không bao giờ nằm ở main.ts mà nhiều khả năng ẩn trong chuỗi thư viện rất sâu
    • Điều thú vị là theo bài báo, tiện ích này thực sự đã vượt qua rà soát thủ công và nhận huy hiệu “Featured”

  • Công ty đứng sau tiện ích này là Urban Cyber Security Inc., trông như một pháp nhân có thật được đăng ký tại Delaware
    Họ còn công khai cả địa chỉ và số điện thoại
    Thông tin công ty, trang chính thức, thông tin đăng ký kinh doanh
    Bề ngoài trông rất hợp pháp, nên cũng có khả năng chính họ là nạn nhân

    • Nhưng đánh giá tính hợp pháp chỉ từ vẻ bề ngoài là rất nguy hiểm
      Chỉ vài trăm USD là có thể dựng một pháp nhân như thế này, và chỉ với địa chỉ văn phòng ảo cùng một website đơn giản cũng đủ để trông rất thuyết phục
      Thông tin thấy trên internet lúc nào cũng phải nghi ngờ
    • Xem Manhattan Virtual Office thì địa chỉ ở New York là văn phòng ảo,
      còn địa chỉ ở Delaware của The Mill Space cũng là không gian coworking
    • Thực tế Urban VPN có liên hệ với công ty môi giới dữ liệu BiScience
      Công ty này trước đây từng thu hút sự chú ý của giới nghiên cứu vì thu thập dữ liệu clickstream của người dùng
      Cùng một chức năng thu thập dữ liệu đã được phát hiện trong nhiều tiện ích, và việc đây là dịch vụ miễn phí khiến mọi thứ càng đáng ngờ
      Câu “một lần là ngẫu nhiên, hai lần là trùng hợp, ba lần là hành vi thù địch” chợt hiện ra trong đầu
    • Ở Mỹ, đăng ký địa chỉ và có số điện thoại chỉ tốn khoảng 15 USD/tháng, còn lập pháp nhân thì chỉ cần vài trăm USD
    • Địa chỉ của đại diện đăng ký có vẻ giống địa chỉ của một hãng luật thật nhưng không hoàn toàn trùng khớp
      Liên kết tham khảo

  • Tôi đã ngạc nhiên khi thấy đội ngũ kiểm duyệt của Google từ chối một nửa số tiện ích của tôi
    Ứng dụng Uber Driver phải luôn được cho phép truy cập vị trí nền, nhưng trong phần cài đặt lại không có cách thay đổi
    Bài viết trên diễn đàn liên quan

    • Nếu Google thực sự nghiêm túc trong việc bảo vệ người dùng thì họ đã phải chặn yêu cầu quyền microphone liên tục của các ứng dụng như WhatsApp
      Chỉ riêng các ứng dụng Meta là phớt lờ tùy chọn “hỏi mỗi lần”
      Có vẻ Google quan tâm tới nhà quảng cáo hơn là người dùng
    • Có lẽ là vì quyền “While using” bao gồm cả việc chạy điều hướng nền
      Có giải thích trong tài liệu dành cho nhà phát triển của Apple
    • Cũng có trường hợp việc phân chia quyền ứng dụng khá mơ hồ
      Ví dụ chỉ cần kết nối Bluetooth mà vẫn yêu cầu quyền “truy cập dữ liệu vị trí”

  • Mô hình quyền hạn của tiện ích trình duyệt về cơ bản là sai từ gốc
    Khi cài đặt thì cấp toàn bộ quyền một lần, rồi chẳng biết sau các bản cập nhật sẽ có chuyện gì xảy ra
    Cần có yêu cầu quyền lúc runtime như iOS
    Huy hiệu “Recommended” chỉ là giải pháp tạm bợ, và những tiện ích cần quyền “đọc/thay đổi dữ liệu trên mọi trang web” lẽ ra không nên tồn tại ngay từ đầu

    • Hiện giờ chỉ có thể chọn hoặc một trang cụ thể hoặc tất cả các trang, nên quá cực đoan
      Những tiện ích chỉ áp dụng cho vài trang vẫn phải yêu cầu quyền truy cập mọi trang
      Tôi nghĩ đến khoảng năm 2025 cần một mô hình quyền dựa trên sandbox chi tiết hơn

  • Tôi đã rất ngạc nhiên khi đọc câu “vài tuần trước tôi mở Claude khi đưa ra một quyết định quan trọng trong đời”
    Có vẻ đúng là chúng ta đang sống trong thời đại như vậy

    • Ngày xưa người ta rút thăm để quyết định, còn giờ thì giao cho một bộ máy dự đoán không có năng lực thấu hiểu
      Con người ngày càng dựa vào AI để tránh sự hỗn loạn của suy nghĩ
    • Có người phải viết ra thì mới sắp xếp được suy nghĩ
      Ở khía cạnh đó, có thể nói bộ não của họ hoạt động giống LLM
    • Với tôi thì giao quyết định cho AI nghe như chuyện điên rồ
      Tôi đã dùng Claude hai lần nhưng thấy chẳng giúp ích gì nhiều
      Thỉnh thoảng tôi chỉ dùng phần tóm tắt AI của DuckDuckGo
    • Nhưng theo khảo sát của HBR, trường hợp sử dụng phổ biến nhất của ChatGPT là “trị liệu/người trò chuyện”
      Nguồn
    • Giao quyết định cuộc đời cho AI là ngu ngốc, nhưng dùng nó như công cụ để sắp xếp suy nghĩ và đặt câu hỏi thì có ích

  • Tôi từng trực tiếp thấy hành vi theo dõi của BiScience trong quá khứ nên chuyện lần này không có gì bất ngờ
    Trước đây nó cũng từng được nhắc tới trong vụ tiện ích Cyberhaven bị hack
    Blog liên quan 1, Blog liên quan 2

  • Tôi không hiểu vì sao nhiều người lại tin VPN miễn phí đến vậy
    Kiểu “hãy giao toàn bộ lưu lượng của bạn cho chúng tôi, chúng tôi miễn phí” thì tôi xin kiếu

    • ISP cung cấp toàn bộ lịch sử truy cập theo yêu cầu của chính phủ, nhưng VPN như Mullvad vận hành không cần KYC nên trên thực tế ngay cả khi bị khám xét theo lệnh cũng không để lộ dữ liệu khách hàng
      Trường hợp liên quan
    • ISP cũng xử lý toàn bộ lưu lượng nên chẳng khác gì VPN
      Đó cũng là lý do TLS tồn tại
      Về cơ bản phải coi lưu lượng internet là luôn bị nghe lén
    • Ở một số quốc gia thu nhập thấp, người ta buộc phải dùng VPN miễn phí vì hạn chế truy cập
      Nhưng cá nhân tôi thì ngoài Mullvad/IVPN/ProtonVPN ra không tin ai khác
    • Phần lớn chỉ dùng VPN miễn phí để xem nội dung bị chặn như torrent, nội dung người lớn, cờ bạc...
      Những người này thường muốn tránh hợp đồng dài hạn nên search “free VPN” rồi cài ngay
      Thực ra thói quen này cũng khá giống với lạm dụng tiện ích mở rộng
    • Dù vậy, nhờ TLS mà ít nhất thông tin ngân hàng cũng không bị lộ sạch

  • Google cần rà soát và gỡ bỏ những tiện ích kiểu này kỹ hơn
    Độ tin cậy là cốt lõi, và các tiện ích như LastPass hay Ward thực sự có giá trị
    Cần một hệ thống kiểu thư mục bảo mật tiện ích công khai

    • Nhưng tôi vẫn nghi ngờ liệu review mã có bắt được vấn đề kiểu này hay không
      Việc tiện ích thu thập dữ liệu trong vai trò “công cụ bảo vệ AI” lại khá nhất quán về mặt chức năng
      Vấn đề không nằm ở mã mà là chính sách và cách sử dụng dữ liệu
    • Chỉ kiểm duyệt tự động thì có giới hạn
      Nếu số lượt cài vượt một mức nhất định thì con người phải trực tiếp xem xét, nhưng Google có vẻ không thích cách này
    • Tôi cũng nghi ngờ liệu Google có thực sự đang review mã hay không
    • Chỉ review mã thì không thể biết dữ liệu hội thoại của người dùng sau đó sẽ được dùng như thế nào

  • Tôi từng nghe nói Manifest V3 làm tiện ích Chrome an toàn hơn, nhưng không chắc có đúng vậy không

    • Dù vậy, nhờ Manifest V3 mà mã phải được đóng gói bên trong tiện ích nên có thể chặn việc tải script từ bên ngoài
      Trước đây kiểu này gần như không thể phát hiện
    • Nhưng rồi cuối cùng vẫn quay về câu hỏi: họ kiếm tiền bằng cách nào?

  • Vụ này không phải hệ thống bị hack, mà là một tiện ích lừa đảo ngay từ đầu
    Trước đây tôi thích tùy biến bằng Greasemonkey, nhưng giờ chỉ tin các tiện ích mã nguồn mở như Privacy Badger và Ublock Origin
    Dù vậy, rủi ro vẫn luôn tồn tại