Rozszerzenia Chrome z ~900 tys. instalacji przyłapane na kradzieży rozmów z ChatGPT i DeepSeek - Security Bez Tabu

Rozszerzenia Chrome z ~900 tys. instalacji przyłapane na kradzieży rozmów z ChatGPT i DeepSeek

Wprowadzenie do problemu / definicja luki

Złośliwe (albo „użyteczne na wierzchu, szkodliwe w tle”) rozszerzenia przeglądarki to jeden z najgroźniejszych wektorów wycieku danych w firmach i u użytkowników indywidualnych. Powód jest prosty: rozszerzenie działa w kontekście przeglądarki, często z szerokimi uprawnieniami do stron i kart, i może dyskretnie zbierać informacje, których użytkownik w ogóle nie kojarzy jako „danych” — np. treść rozmów z chatbotami AI.

W tym konkretnym incydencie badacze z OX Security opisali kampanię, w której dwa rozszerzenia podszywające się pod legalny produkt AI (AITOPIA) wykradały rozmowy z ChatGPT i DeepSeek oraz dane o aktywności przeglądarki.

W skrócie

  • Zidentyfikowano dwa rozszerzenia z łącznym zasięgiem ok. 900 tys. instalacji.
  • Rozszerzenia udawały podobne do legalnego narzędzia AITOPIA (AI sidebar), ale dodawały kod do ekstrakcji rozmów z ChatGPT/DeepSeek i wysyłki do infrastruktury atakującego.
  • Zbierane były też pełne URL-e kart, zapytania i parametry (potencjalnie z tokenami sesyjnymi / identyfikatorami).
  • Exfiltracja następowała paczkami co ~30 minut do domen C2 (m.in. deepaichats[.]com, chatsaigpt[.]com).
  • Według doniesień medialnych w styczniu 2026 rozszerzenia zostały już usunięte ze sklepu Chrome Web Store.

Kontekst / historia / powiązania

Mechanika „prompt theft” (w praktyce: przechwytywanie treści promptów i odpowiedzi) bywa opisywana jako „Prompt Poaching”: rozszerzenie wykorzystuje uprawnienia do stron (host permissions) i/lub skrypty treści (content scripts), by podejrzeć elementy DOM na stronach narzędzi AI i wyciągnąć treść rozmowy.

W tej kampanii dodatkowym elementem utrudniającym analizę było wykorzystanie platformy Lovable do hostowania komponentów infrastruktury (np. stron „privacy policy” i mechanizmów przekierowań), co miało utrudniać atrybucję.

Analiza techniczna / szczegóły luki

1) Socjotechnika i podszywanie się pod legalne narzędzie

Atakujący skopiowali funkcjonalność legalnego rozszerzenia AITOPIA (AI sidebar), a następnie dołożyli warstwę „telemetrii”, która w praktyce była kradzieżą danych. Użytkownik widział działający panel AI, pozytywne oceny i — w co najmniej jednym przypadku — nawet odznakę „Featured”, co zwiększało wiarygodność.

2) Uprawnienia: „czytaj całą zawartość stron”

Badacze wskazują, że rozszerzenia korzystały z szerokich uprawnień typu „read all website content”, co w świecie Chrome przekłada się na ostrzeżenia w stylu „czytaj i zmieniaj dane na stronach, które odwiedzasz” (szczególnie przy szerokich host permissions).

3) Mechanizm kradzieży danych (high-level)

Z raportu OX Security wynika następujący łańcuch:

  • rozszerzenie prosi o zgodę na zbieranie „anonimowej analityki”,
  • generuje identyfikator ofiary (gptChatId),
  • śledzi odwiedzane URL-e (m.in. przez API chrome.tabs.onUpdated),
  • gdy wykryje, że URL zawiera frazy typu „chatgpt” lub „deepseek”, wyszukuje konkretne elementy DOM rozmowy, wyciąga prompt i odpowiedź, zapisuje lokalnie, a potem wysyła paczkami do C2 co ~30 minut.

4) IoC: identyfikatory rozszerzeń i domeny

Rozszerzenia:

  • Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI — ID: fnmihdojmnkclgjpcoonokmkhjpjechg
  • AI Sidebar with Deepseek, ChatGPT, Claude and more — ID: inhcgfpbfdjbjogdfjbclgolkmhnooop

C2 / infrastruktura wskazana w raporcie:

  • deepaichats[.]com, chatsaigpt[.]com
  • oraz komponenty powiązane z hostowaniem/warstwą pośrednią: chataigpt[.]pro, chatgptsidebar[.]pro

Praktyczne konsekwencje / ryzyko

To, co czyni ten typ kampanii wyjątkowo ryzykownym, to charakter danych „AI chat”. Użytkownicy (także w firmach) wklejają do narzędzi AI:

  • fragmenty kodu, logi, konfiguracje,
  • opisy podatności i architektury,
  • dane klientów (PII), treści umów, kwestie prawne,
  • pomysły produktowe i strategie.

OX Security wprost podkreśla ryzyka: szpiegostwo korporacyjne, phishing ukierunkowany, kradzież tożsamości, odsprzedaż danych oraz wycieki domen wewnętrznych/endpointów przez zbieranie pełnych URL-i kart.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników indywidualnych

  1. Usuń rozszerzenia i sprawdź listę dodatków po ID (najpewniejsze kryterium).
  2. Zmień hasła / odśwież sesje tam, gdzie mogły „przelecieć” dane w URL (zwłaszcza jeśli korzystasz z aplikacji, które wrzucają tokeny w parametry). Ryzyko wycieku takich parametrów było wskazane w raporcie.
  3. Przejrzyj ostatnie rozmowy z AI pod kątem sekretów (klucze API, dane klientów, fragmenty konfiguracji) — potraktuj je jako potencjalnie ujawnione.

Dla organizacji (SOC/IT/Blue Team)

  1. Higiena rozszerzeń: allowlista rozszerzeń w przeglądarkach zarządzanych (Chrome Enterprise) i blokada instalacji „AI sidebarów” z nieznanych wydawców.
  2. Detekcja sieciowa: alerty DNS/HTTP(S) na domeny IoC z raportu (np. deepaichats[.]com, chatsaigpt[.]com).
  3. Hunting na endpointach: inwentaryzacja zainstalowanych rozszerzeń po ID (powyżej) i szybki skan środowiska.
  4. Polityki danych: przypomnienie/egzekucja zasad „nie wklejamy sekretów do narzędzi AI”, bo skala ryzyka przy rozszerzeniach jest wysoka.

Dla twórców rozszerzeń (warto wnioskować wprost z zasad Chrome Web Store)

Jeśli produkt zbiera dane użytkownika, Chrome Web Store wymaga jasnego ujawnienia i zgody w interfejsie produktu, a nie „gdzieś w polityce prywatności”. To ważny punkt, bo kampanie często nadużywają mylących komunikatów o „anonimowej analityce”.

Różnice / porównania z innymi przypadkami

W porównaniu do „klasycznych” złośliwych rozszerzeń (ad-injection, porywanie wyników wyszukiwania), ten przypadek jest szczególnie dotkliwy, bo:

  • „payloadem” są treści rozmów (często bardziej wrażliwe niż historia przeglądania),
  • atak jest łatwy do ukrycia: rozszerzenie działa poprawnie i ma pozornie uzasadnione uprawnienia (sidebar AI potrzebuje dostępu do stron).

Podsumowanie / kluczowe wnioski

  • Rozszerzenia przeglądarki stały się realnym kanałem wycieku promptów i odpowiedzi AI na masową skalę (tu: setki tysięcy instalacji).
  • „Zgoda na analitykę” + szerokie host permissions to dziś jeden z najczęstszych „legalnie wyglądających” wzorców nadużyć.
  • Organizacje powinny traktować rozszerzenia jak oprogramowanie z pełnym SDLC i kontrolą: allowlisty, monitoring ruchu, inwentaryzacja, szybkie IR.

Źródła / bibliografia

  1. OX Security – raport techniczny o dwóch rozszerzeniach kradnących rozmowy ChatGPT/DeepSeek (30 grudnia 2025). (OX Security)
  2. SecurityWeek – omówienie incydentu i informacja o usunięciu rozszerzeń ze sklepu (7 stycznia 2026). (SecurityWeek)
  3. The Hacker News – kontekst, ID rozszerzeń oraz opis mechanizmu (6 stycznia 2026). (The Hacker News)
  4. Chrome for Developers – ostrzeżenia dot. uprawnień / host permissions („read and change…”). (Chrome for Developers)
  5. Chrome Web Store Program Policies – wymagania ujawnień i zgody na zbieranie danych. (Chrome for Developers)