Specjaliści z Ox Security odkryli nową falę złośliwych rozszerzeń Chrome, ukierunkowanych na użytkowników narzędzi opartych na sztucznej inteligencji – w szczególności Chatu GPT oraz serwisu DeepSeek. Rozszerzenia te podszywają się pod przydatne dodatki usprawniające pracę z AI, ale w rzeczywistości mają wbudowane mechanizmy przechwytywania treści konwersacji, które następnie są wysyłane do serwerów kontrolowanych przez napastników. Ten typ ataku nie tylko narusza prywatność użytkowników, ale może również prowadzić do wycieku poufnych danych lub wrażliwych informacji biznesowych.
Jak działa kampania
Fałszywe rozszerzenia pojawiają się w Chrome Web Store pod nazwami sugerującymi, iż usprawniają one korzystanie z AI, np. umożliwiają sprawdzenie historii rozmów, eksport konwersacji, lepsze filtrowanie wyników czy integrację z innymi narzędziami produktywności. Po zainstalowaniu dodatek prosi o szerokie uprawnienia, w tym dostęp do aktywnej karty przeglądarki i możliwości odczytu oraz modyfikacji treści stron. To najważniejszy moment – prawdziwe funkcje dodatku nie wymagają tak szerokich uprawnień, a taka prośba powinna być sygnałem ostrzegawczym.
Gdy użytkownik uruchamia ChatGPT lub DeepSeek, złośliwy kod w rozszerzeniu zaczyna skanować aktywne pola tekstowe, wyłapuje treść rozmowy oraz dane wejściowe i wyjściowe. Następnie dane te są przesyłane do serwera napastnika – często szyfrowanym tunelem i za pośrednictwem infrastruktury pośredniej, by utrudnić ich analizę i blokowanie. W testowanych próbkach badacze zaobserwowali przesyłanie zarówno treści konwersacji, jak i metadanych sesji – choć bez jawnych identyfikatorów użytkownika, to wystarczająco dużo, by związane z kontem zachowania stały się możliwe do rekonstrukcji.
Dlaczego ten atak jest groźny
Wyciek treści konwersacji z narzędzi AI to problem nie tylko prywatności, ale także bezpieczeństwa korporacyjnego. Wiele organizacji używa Chatu GPT lub DeepSeek do analiz, generowania kodu, pracy z dokumentami, planowania projektów czy choćby tworzenia draftów ofert i strategii. jeżeli takie rozmowy trafiają w ręce osoby trzeciej, mogą ujawnić:
- fragmenty kodu źródłowego lub algorytmów,
- dane projektowe lub biznesowe,
- poufne informacje o klientach, kontraktach lub planach,
- wyniki analiz, które stanowią wartość intelektualną firmy.
Powoduje to, iż złośliwe rozszerzenie nie jest zwykłym narzędziem naruszającym prywatność, ale może być początkiem eskalacji incydentu bezpieczeństwa lub zostać wykorzystane jako element szerszej kampanii wywiadu konkurencyjnego.
Anatomia techniczna złośliwych rozszerzeń
Analitycy z Ox Security wskazali kilka cech wspólnych dla wykrytych próbek:
- Uprawnienia przeglądarki: rozszerzenia żądają dostępu do activeTab, tabs, webNavigation oraz uprawnień do wszystkich adresów (<all_urls>), co umożliwia im monitorowanie treści na stronach takich jak chat.openai.com czy deepseek.ai.
- Hooking DOM: kod JavaScript „hakujący” strony AI często opiera się na hookowaniu eventów formularzy i textarea, przechwytując wpisywany tekst lub odpowiedzi generowane dynamicznie przez model AI.
- Transmisja danych: dane są agregowane i przesyłane w tle na endpointy kontrolowane przez atakujących, często poprzez kanały API lub WebSockety, maskowane jako ruch telemetryczny lub statystyczny, by nie wzbudzać podejrzeń.
- Słaba walidacja lub jej brak: niektóre z rozszerzeń korzystają z kodu open-source narzędzi do automatyzacji UI (np. Puppeteer-style hooking), co ułatwia napisanie złośliwego modułu bez własnej implementacji skomplikowanych parserów.
Te techniki sprawiają, iż choćby użytkownicy, którzy „tylko sprawdzają” rozszerzenie o dobrych opiniach lub wysokiej liczbie instalacji, mogą nieświadomie przekazywać treści swoich rozmów oraz fragmenty danych w ręce napastników.
Rekomendacje – jak wykrywać takie zagrożenia i im przeciwdziałać
Przede wszystkim użytkownicy powinni unikać instalowania rozszerzeń z niezweryfikowanych źródeł lub tych, które żądają dostępu do treści stron AI oraz zbyt szerokich uprawnień (<all_urls>). choćby jeżeli rozszerzenie pojawia się w oficjalnym sklepie, jego uprawnienia i opis powinny być krytycznie ocenione.
Organizacje mogą podjąć dodatkowe działania:
- monitorować instalacje rozszerzeń w środowisku korporacyjnym i blokować dodawanie dodatków o wysokim ryzyku lub żądających globalnych uprawnień;
- wprowadzić polityki bezpieczeństwa przeglądarek (ang. browser management), które ograniczają instalację dodatków tylko do zatwierdzonych repozytoriów lub listy „whitelist”;
- edukować użytkowników w zakresie ryzyka instalacji dodatków, które mają dostęp do treści stron i mogą przetwarzać dane wrażliwe;
- rozważyć korzystanie z narzędzi przeglądarkowych, które izolują sesje AI (sandboxing), by minimalizować ryzyko przechwycenia poufnych danych.
Podsumowanie – nowe wektory ataku w erze AI
Opisane złośliwe rozszerzenia pokazują, iż wraz z popularyzacją narzędzi AI takich jak ChatGPT czy DeepSeek pojawiają się nowe, subtelne wektory ataku. Nie są to klasyczne phishingi czy malware payloady – to oprogramowanie, które wygląda jak pomocne narzędzie, a w rzeczywistości wykrada cenne dane konwersacyjne.
Dla specjalistów ds. bezpieczeństwa to sygnał, iż ochrona przed zagrożeniami AI nie ogranicza się już tylko do samego modelu lub API – należy uwzględnić cały ekosystem narzędzi klienckich, rozszerzeń przeglądarkowych i aplikacji wspierających pracę z AI. Przemyślane polityki instalacji, kontrola przeglądarek i edukacja użytkowników stają się kluczowymi elementami obrony w tej nowej, dynamicznej przestrzeni zagrożeń.