ด่วน! ส่วนขยาย Chrome ยอดนิยม 'Urban VPN Proxy' แอบดักเก็บข้อมูลแชท AI นับล้านของผู้ใช้

Published:

 

Urban VPN Proxy ส่วนขยาย (Extension) ของ Google Chrome ที่ได้รับตรา "Featured" และมีผู้ใช้กว่า 6 ล้านคน ถูกจับได้ว่ากำลังแอบเก็บทุกข้อความ (Prompt) ที่ผู้ใช้ป้อนเข้าไปในแชทบอท AI ยอดนิยมต่างๆ โดยไม่มีการแจ้งให้ทราบล่วงหน้า

เกิดอะไรขึ้นกับ Urban VPN Proxy?

  • ส่วนขยายที่ถูกกล่าวถึง: คือ Urban VPN Proxy ซึ่งเป็นที่รู้จักในฐานะ VPN ฟรีที่โฆษณาว่าช่วย "ปกป้องความเป็นส่วนตัวออนไลน์" และ ซ่อน IP" และมีคะแนนรีวิวสูงถึง 4.7 ดาวใน Chrome Web Store นอกจากนี้ยังมีผู้ติดตั้งบน Microsoft Edge Add-ons อีก 1.3 ล้านครั้ง
  • นักพัฒนา: คือบริษัท Urban Cyber Security Inc. จากเดลาแวร์
  • การอัปเดตที่มีปัญหา: ในการอัปเดตเวอร์ชัน 5.5.0 เมื่อวันที่ 9 กรกฎาคม 2025 ได้มีการฝังโค้ด JavaScript ที่กำหนดเป้าหมายไปที่แพลตฟอร์ม AI ต่างๆ เช่น OpenAI ChatGPT, Anthropic Claude, Microsoft Copilot, DeepSeek, Google Gemini, xAI Grok, Meta AI และ Perplexity 
  • วิธีการดักจับ: โค้ดดังกล่าวจะฉีดตัวเองเข้าไปในเบราว์เซอร์ และทำการแทนที่ API ที่ใช้ในการจัดการคำขอเครือข่าย (fetch() และ XMLHttpRequest()) ทำให้ทุกคำขอถูกส่งผ่านโค้ดของส่วนขยายก่อนเพื่อ ดักจับและรวบรวมข้อมูลการสนทนาทั้งหมด ไม่ว่าจะเป็น Prompt ที่ผู้ใช้ป้อน และ การตอบกลับของแชทบอท ก่อนจะส่งต่อไปยังเซิร์ฟเวอร์ภายนอกสองแห่ง
ข้อมูลอะไรบ้างที่ถูกขโมยไป

ส่วนขยายนี้กำลังดักเก็บข้อมูลที่ละเอียดอ่อนดังต่อไปนี้

  • ข้อความ Prompt ที่ผู้ใช้ป้อน
  • การตอบกลับจากแชทบอท
  • ตัวระบุการสนทนาและประทับเวลา (Timestamps)
  • ข้อมูลเมตาของเซสชัน (Session metadata)
  • แพลตฟอร์มและโมเดล AI ที่ใช้
นักวิจัยจาก Koi Security ระบุว่า ผู้ใช้ที่ติดตั้ง Urban VPN เพื่อใช้ฟังก์ชัน VPN เพียงอย่างเดียว ตื่นขึ้นมาพร้อมกับโค้ดใหม่ที่แอบเก็บข้อมูลการสนทนา AI ของพวกเขาอย่างเงียบๆ

ข้อแก้ตัวและการเปิดเผยที่คลุมเครือ

แม้ว่านโยบายความเป็นส่วนตัวของ Urban VPN ที่อัปเดตเมื่อวันที่ 25 มิถุนายน 2025 จะระบุว่ามีการรวบรวมข้อมูลเหล่านี้เพื่อปรับปรุง "Safe Browsing" และ "การวิเคราะห์ทางการตลาด" และจะดำเนินการกับข้อมูลที่ไม่ระบุตัวตน (De-identified and anonymized data) แต่:

  • พวดเขาเปิดเผยว่าหนึ่งในบุคคลที่สามที่ร่วมแชร์ "Web Browsing Data" คือบริษัทในเครือด้านการวิเคราะห์โฆษณาที่ชื่อว่า BIScience
  • Urban VPN ยอมรับว่า BIScience ใช้ข้อมูล ดิบ (Raw data) ที่ ไม่ได้ถูกทำให้ไม่ระบุตัวตน เพื่อสร้างข้อมูลเชิงลึกที่ "ถูกใช้ในเชิงพาณิชย์และแชร์กับพันธมิตรทางธุรกิจ"
  • BIScience เป็นบริษัทที่เป็นเจ้าของ Urban Cyber Security Inc. และเคยถูกกล่าวหาในเดือนมกราคมก้อนหน้านี้เกี่ยวกับการเก็บประวัติการเข้าชม (Clickstream data) ของผู้ใช้อย่างไม่โปร่งใส
ฟีเจอร์ "AI Protection" ที่หลอกลวง

Urban VPN ยังโฆษณาฟีเจอร์ "AI Protection" ที่อ้างว่าตรวจสอบ Prompt เพื่อป้องกันการแชร์ข้อมูลส่วนตัว แต่สิ่งที่นักพัฒนาไม่ได้กล่าวคือ การเก็บข้อมูลยังคงเกิดขึ้นไม่ว่าฟีเจอร์นี้จะเปิดใช้งานอยู่หรือไม่

"ฟีเจอร์การป้องกันจะแสดงคำเตือนเป็นครั้งคราวเกี่ยวกับการแชร์ข้อมูลที่ละเอียดอ่อนกับบริษัท AI" Idan Dardikman จาก Koi Security กล่าว "แต่ฟีเจอร์การดักเก็บข้อมูล (Harvesting feature) กลับส่งข้อมูลที่ละเอียดอ่อนทั้งหมดนั้น และทุกสิ่งทุกอย่าง ไปยังเซิร์ฟเวอร์ของ Urban VPN เอง ซึ่งจะถูกขายให้กับผู้ลงโฆษณา"

ส่วนขยายอื่นๆ ที่มีปัญหาเดียวกัน

Koi Security ยังพบการดักเก็บข้อมูล AI ที่เหมือนกันในส่วนขยายอื่นๆ อีกสามรายการจากผู้เผยแพร่รายเดียวกันใน Chrome และ Microsoft Edge ทำให้ฐานผู้ใช้รวมทั้งหมดเพิ่มขึ้นเป็นกว่า 8 ล้านคน

  • 1ClickVPN Proxy
  • Urban Browser Guard
  • Urban Ad Blocker
ส่วนขยายเหล่านี้ส่วนใหญ่ได้รับตรา "Featured" ซึ่งความน่าเชื่อถือและเป็นเหมือนการรับรองคุณภาพจาก Google และ Microsoft ทำให้ผู้ใช้เชื่อมั่นและติดต้ังได้ง่ายขึ้น

กรณีนี้เป็นดครื่องเตือนใจอีกครั้งว่า ความเชื่อมั่นใน Extension Marketing สามารถถูกนำมาใช้ในทางที่ผิดเพื่อรวบรวมข้อมูลที่ละเอียดอ่อนในวงกว้าง โดยเฉพาะอย่างยิ่งในช่วงเวลาที่ผู้คนหันมาแชร์ข้อมูลส่วนตัวและละเอียดอ่อนกับแชทบอท AI มากขึ้น

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์