Команда AI for Devs подготовила перевод резонансного расследования о том, как "приватные" VPN-расширения на самом деле зарабатывают на ваших ИИ-переписках. 8 миллионов пользователей, Featured-бейджи от Google и Microsoft, полный доступ к ChatGPT, Claude и Gemini — и всё это утекает дата-брокерам. История о том, почему обещания безопасности в браузере стоит читать особенно внимательно.

Несколько недель назад я ломал голову над важным жизненным решением. Как я уже привык делать, я открыл Claude и начал размышлять вслух — раскладывал варианты, взвешивал компромиссы, просил взгляда со стороны.

В какой-то момент я остановился. Я осознал, сколько всего рассказал: не только об этом решении, но и о месяцах переписок — личные дилеммы, вопросы о здоровье, финансовые детали, рабочие разочарования, вещи, о которых я не говорил никому. С моим ИИ-ассистентом у меня сложился уровень откровенности, которого нет с большинством людей в моей жизни.

И тут возникла тревожная мысль: а что, если кто-то всё это читает?

Мысль не отпускала. А поскольку я исследователь в области безопасности, у меня есть инструменты, чтобы на неё ответить.

Обнаружение

Мы попросили Wings, наш агентный ИИ-движок оценки рисков, просканировать браузерные расширения, способные читать и выгружать переписки с платформ ИИ-чатов. Мы ожидали найти несколько сомнительных расширений — с малым числом установок, мутными издателями, стандартный набор подозреваемых.

Результаты оказались совсем другими.

Почти в самом верху списка — Urban VPN Proxy. Расширение для Chrome с более чем 6 миллионами пользователей. Рейтинг 4,7 звезды на основе 58 000 отзывов. Значок «Featured» от Google, что означает прохождение ручной проверки и соответствие тому, что Google называет «высоким стандартом пользовательского опыта и дизайна».

Бесплатный VPN, обещающий приватность и безопасность. Ровно тот инструмент, который устанавливают, когда хотят защитить себя в интернете.

Мы решили копнуть глубже.

Что мы нашли

Urban VPN Proxy нацелен на переписки сразу на десяти ИИ-платформах:

• ChatGPT

• Claude

• Gemini

• Microsoft Copilot

• Perplexity

• DeepSeek

• Grok (xAI)

• Meta AI

Для каждой платформы в расширении есть отдельный скрипт-«исполнитель», предназначенный для перехвата и сбора переписок. Сбор включён по умолчанию с помощью жёстко прописанных флагов в конфигурации расширения.

Пользовательского переключателя для отключения этого нет. Единственный способ остановить сбор данных — полностью удалить расширение.

Как это работает

Сбор данных работает независимо от VPN-функций. Подключён VPN или нет — сбор непрерывно идёт в фоне.

Технически это выглядит так:

1. Внедрение скриптов в ИИ-платформы

Расширение отслеживает вкладки браузера. Когда вы заходите на одну из целевых ИИ-платформ (ChatGPT, Claude, Gemini и т. д.), оно внедряет прямо в страницу скрипт-«исполнитель». Для каждой платформы — свой скрипт: chatgpt.js, claude.js, gemini.js и так далее.

2. Переопределение нативных функций браузера

После внедрения скрипт переопределяет fetch() и XMLHttpRequest — базовые API браузера, через которые проходят все сетевые запросы. Это агрессивная техника. Скрипт оборачивает исходные функции так, что каждый запрос и ответ на этой странице сначала проходит через код расширения.

Это означает, что когда Claude отправляет вам ответ или вы отправляете промпт в ChatGPT, расширение видит «сырое» API-взаимодействие ещё до того, как браузер его отрисует.

3. Разбор и упаковка данных

Внедрённый скрипт разбирает перехваченные API-ответы и извлекает данные переписки — ваши промпты, ответы ИИ, временные метки, идентификаторы диалогов. Эти данные упаковываются и передаются через window.postMessageв content-скрипт расширения с меткой PANELOS_MESSAGE.

4. Выгрузка через фоновый воркер

Content-скрипт пересылает данные в фоновый service worker расширения, который и занимается фактической выгрузкой. Данные сжимаются и отправляются на серверы Urban VPN, включая эндпоинты analytics.urban-vpn.com и stats.urban-vpn.com.

Что именно собирается:

• каждый промпт, который вы отправляете ИИ

• каждый ответ, который вы получаете

• идентификаторы диалогов и временные метки

• метаданные сессии

• конкретная ИИ-платформа и используемая модель

Хронология

Сбор ИИ-переписок появился не сразу. По нашим данным:

• до версии 5.5.0: функциональности сбора ИИ-переписок не было

• 9 июля 2025 года: выходит версия 5.5.0, в которой сбор включён по умолчанию

• июль 2025 — настоящее время: все переписки пользователей с целевыми ИИ-платформами собираются и выгружаются

Расширения Chrome и Edge по умолчанию обновляются автоматически. Пользователи, установившие Urban VPN ради заявленного назначения — VPN-возможностей, — в какой-то день просто получили обновление с кодом, который молча начал собирать их ИИ-переписки.

Любой, кто пользовался ChatGPT, Claude, Gemini или другими целевыми платформами при установленном Urban VPN после 9 июля 2025 года, должен исходить из того, что эти переписки теперь находятся на серверах Urban VPN и были переданы третьим сторонам. Медицинские вопросы, финансовые детали, проприетарный код, личные дилеммы — всё это продано «в целях маркетинговой аналитики».

Что на самом деле делает "ИИ-защита"

В описании Urban VPN в Chrome Web Store «защита ИИ» продвигается как фича:

«Advanced VPN Protection — наш VPN предоставляет дополнительные функции безопасности для защиты вашего серфинга от фишинга, вредоносного ПО, навязчивой рекламы, а также защиту ИИ, которая проверяет промпты на наличие персональных данных (например, email или номер телефона), анализирует ответы ИИ-чата на подозрительные или небезопасные ссылки и показывает предупреждение перед кликом или отправкой промпта».

Формулировка создаёт впечатление, что мониторинг ИИ нужен для вашей защиты — чтобы проверять, не делитесь ли вы случайно чувствительными данными, и предупреждать о подозрительных ссылках в ответах.

Код рассказывает другую историю. Сбор данных и уведомления «защиты» работают независимо друг от друга. Включение или отключение предупреждений никак не влияет на то, собираются ли ваши переписки и выгружаются ли они. Расширение собирает всё в любом случае.

Функция «защиты» иногда показывает предупреждения о передаче чувствительных данных ИИ-компаниям. А функция сбора отправляет ровно эти же чувствительные данные — и всё остальное — на собственные серверы Urban VPN, где они продаются рекламодателям. Расширение предупреждает вас о том, что не стоит делиться email с ChatGPT, и одновременно выгружает весь ваш диалог дата-брокеру.

Дальше – хуже

После того как мы задокументировали поведение Urban VPN Proxy, мы проверили, есть ли тот же код где-то ещё.

Он оказался там. Идентичная функциональность сбора ИИ-переписок присутствует ещё в семи расширениях того же издателя — как для Chrome, так и для Edge:

Chrome Web Store:

• Urban VPN Proxy — 6 000 000 пользователей

• 1ClickVPN Proxy — 600 000 пользователей

• Urban Browser Guard — 40 000 пользователей

• Urban Ad Blocker — 10 000 пользователей

Microsoft Edge Add-ons:

• Urban VPN Proxy — 1 323 622 пользователя

• 1ClickVPN Proxy — 36 459 пользователей

• Urban Browser Guard — 12 624 пользователя

• Urban Ad Blocker — 6 476 пользователей

Всего затронуто пользователей: более 8 миллионов.

Расширения относятся к разным категориям — VPN, блокировщик рекламы, «защитник браузера», — но используют один и тот же бэкенд слежки. Пользователь, устанавливающий блокировщик рекламы, не имеет никаких оснований ожидать, что его переписки в Claude будут собираться.

Все эти расширения, кроме Urban Ad Blocker для Edge, имеют значок «Featured» в своих магазинах. Для пользователей это сигнал, что расширение проверено и соответствует стандартам качества платформы. Для многих именно этот значок становится решающим фактором установки — это негласное одобрение со стороны Google и Microsoft.

Кто за этим стоит

Urban VPN управляется компанией Urban Cyber Security Inc., связанной с BiScience (B.I. Science (2009) Ltd.), компанией-дата-брокером.

Эта компания уже попадала в поле зрения исследователей. Специалисты по безопасности Владимир Палант и Джон Такнер из Secure Annex ранее документировали практики сбора данных BiScience. Их исследования показали, что:

• BiScience собирает clickstream-данные (историю браузинга) миллионов пользователей

• данные привязываются к постоянным идентификаторам устройств, что позволяет повторную идентификацию

• компания предоставляет SDK сторонним разработчикам расширений для сбора и продажи пользовательских данных

• BiScience продаёт эти данные через продукты вроде AdClarity и Clickstream OS

Наше открытие показывает расширение этой деятельности. BiScience перешла от сбора истории браузинга к сбору полных ИИ-переписок — значительно более чувствительной категории данных.

Политика конфиденциальности прямо подтверждает этот поток данных:

«Мы передаём данные веб-браузинга нашей аффилированной компании… BiScience, которая использует эти сырые данные для создания инсайтов, коммерчески используемых и передаваемых бизнес-партнёрам».

Проблема раскрытия информации

Для справедливости: Urban VPN кое-что из этого раскрывает — если знать, где искать.

В окне согласия (показывается при настройке расширения) упоминается, что расширение обрабатывает «ChatAI communication» наряду с «посещаемыми страницами» и «сигналами безопасности». Указывается, что это делается «для предоставления защиты».

В политике конфиденциальности, глубоко в тексте, говорится прямо:

«Входные и выходные данные ИИ. В рамках данных веб-браузинга мы собираем промпты и ответы, отправленные конечным пользователем или сгенерированные ИИ-провайдером чата».

И далее:

«Мы также раскрываем ИИ-промпты в целях маркетинговой аналитики».

Однако описание в Chrome Web Store — месте, где пользователь принимает решение об установке, — рисует иную картину:

«Этот разработчик заявляет, что ваши данные не продаются третьим сторонам за пределами утверждённых сценариев использования».

В списке упоминается обработка «Web history» и «Website content», но про ИИ-переписки не сказано ни слова.

Противоречия существенные:

• окно согласия подаёт мониторинг ИИ как защиту, политика конфиденциальности раскрывает продажу данных для маркетинга;

• страница в магазине утверждает, что данные не продаются третьим сторонам, а политика описывает передачу BiScience, «бизнес-партнёрам» и использование для «маркетинговой аналитики»;

• пользователи, установившие расширение до июля 2025 года, вообще не видели обновлённого окна согласия — сбор ИИ-переписок был добавлен через тихое обновление версии 5.5.0;

• даже увидевшие окно согласия не имеют тонкой настройки: нельзя согласиться на VPN и отказаться от сбора ИИ-переписок — только всё или ничего;

• нигде не указано, что сбор продолжается даже при отключённом VPN и выключенной «защите ИИ» — сбор идёт в фоне независимо от включённых фич.

Роль Google

Urban VPN Proxy имеет значок «Featured» в Chrome Web Store. Согласно документации Google:

«Featured-расширения следуют нашим техническим лучшим практикам и соответствуют высокому стандарту пользовательского опыта и дизайна».

«Перед получением значка Featured команда Chrome Web Store обязана проверить каждое расширение».

Это означает, что человек в Google проверял Urban VPN Proxy и решил, что оно соответствует стандартам. Либо проверка не затронула код, собирающий переписки из собственного ИИ-продукта Google (Gemini), либо затронула — и это не сочли проблемой.

Политика Limited Use Chrome Web Store прямо запрещает «передачу или продажу пользовательских данных третьим сторонам, таким как рекламные платформы, дата-брокеры или другие реселлеры информации». BiScience по собственному описанию является дата-брокером.

Тем не менее расширение остаётся доступным и имеет статус Featured на момент написания этого текста.

Заключение

Браузерные расширения занимают особое место доверия. Они работают в фоне, имеют широкий доступ к активности браузера и обновляются автоматически. Когда расширение обещает приватность и безопасность, у пользователя нет причин подозревать обратное.

В этом случае примечателен не только масштаб — 8 миллионов пользователей — и не только чувствительность данных — полные ИИ-переписки. Примечательно то, что эти расширения прошли проверку, получили значки Featured и месяцами оставались доступными, собирая одни из самых личных данных, которые пользователи создают в интернете. Маркетплейсы, призванные защищать пользователей, фактически выдали этим расширениям знак одобрения.

Если у вас установлено любое из этих расширений — удалите его немедленно. Считайте, что любые ваши ИИ-переписки с июля 2025 года были собраны и переданы третьим сторонам.

Русскоязычное сообщество про AI в разработке

Друзья! Эту статью подготовила команда ТГК «AI for Devs» — канала, где мы рассказываем про AI-ассистентов, плагины для IDE, делимся практическими кейсами и свежими новостями из мира ИИ. Подписывайтесь, чтобы быть в курсе и ничего не упустить!