Skandalas: žadėjo privatumą, o pardavė milijonus vartotojų DI pokalbių

Duomenys – šio amžiaus auksas. Nors dirbtinio intelekto ir technologijų milžinai vargu ar beatodairiškai sutiktų su šiuo teiginiu, saugumo ekspertai tuo neabejoja. Kiekvienas žingsnis internete – naršant, naudojantis „nemokamais“ įrankiais ir dirbtinio intelekto programėlėmis, palieka savo pėdsaką. Tuo tarpu žadamas privatumas gali likti tik neaiškiose taisyklių eilutėse. Šįkart ekspertai saugumo spragų aptiko ir viename „Chrome“ plėtinyje.

Pasinaudojo vartotojų pokalbiais su DI

Kaip teigiama „KOI Security“ paskelbtame pranešime, nustatyta, kad populiarus „Urban VPN Proxy“ naršyklės plėtinys, turintis daugiau nei 6 milijonus įdiegimų, slaptai renka ir išsaugo vartotojų pokalbius su įvairiais dirbtinio intelekto pokalbių robotais, tokiais kaip „ChatGPT“, „Claude“, „Gemini“, „Meta AI“ ir kt.

Ir taip, tikrai paradoksalu, nemokamas VPN įrankis, žadantis privatumą ir saugumą internete, pats to nesilaiko.

Sukurtas veikimo mechanizmas

„Urban VPN Proxy“ plėtinys su 58 000 atsiliepimų yra pasiekęs 4,7 žvaigždučių vidurkį, o „Google“ suteiktas ženklelis nurodo, kad programa atitinka aukštus naudotojo patirties ir dizaino standartus.

Nepaisant to, saugumo ekspertų komanda, paanalizavusi atvejį detaliau, aptiko kiekvienai platformai plėtinyje įdiegtą „vykdytojo scenarijų“, kuris yra skirtas perimti ir fiksuoti vartotojų pokalbius su dirbtiniu intelektu. Šis duomenų rinkimas pagal nutylėjimą yra visada įjungiamas, o vartotojai galimybės išjungti šios funkcijos neturi.

Nepriklausomai nuo to, ar VPN įjungtas ar ne, duomenų rinkimas fone vyksta nuolatos, kai tik įjungiamas vienas iš dirbtinio intelekto pokalbių robotų. Plėtinys renka kiekvieną užklausą, gautą atsakymą, sesijos identifikatorių, laiko žymas, metaduomenis ir konkrečią dirbtinio intelekto platformą bei pokalbio metu naudotą modelį.

Atskleidžiama, kad „Urban VPN Proxy“ plėtinys minėtus vartotojų duomenis renka nuo šiais metais liepos 9 d. paskelbto atnaujinimo. O iš viso galėjo būti paveikta daugiau nei 8  mln. vartotojų duomenų.

Žada privatumą, kurio patys nesilaiko

Plėtinio privatumo politikoje iš esmės patvirtinama, kad yra renkamas naršymo ir pokalbių su dirbtiniu intelektu turinys, tačiau visa tai pateikiama kaip saugumo ir marketingo analizės priemonė. Tiesa, kai kurie teiginiai gali išduoti apie duomenų perdavimą trečiosioms šalims. Visgi juos rasime ne „Chrome“ internetinės parduotuvės įrašuose, bet privatumo politikoje ir sutikimo pranešime, kurių, tenka pripažinti, vartotojai beveik neskaito.

Vartotojai, diegdami „Urban VPN Proxy“, su tuo aiškiai nėra supažindinami, o identiški procesai rasti ir kituose septyniuose šio leidėjo plėtiniuose, įskaitant „1ClickVPN Proxy“, „Urban Browser Guard“ ir „Urban Ad Blocker“, kurie yra skirti tiek „Chrome“, tiek „Edge“ naršyklėms.

Plėtinį valdo „Urban Cyber Security Inc.“, kuri jau anksčiau buvo tiriama dėl saugumo spragų. Tuo tarpu vartotojai raginami ištrinti savo įrenginiuose turimas šio tiekėjo sistemas.

Nors grėsmė vartotojų duomenims didžiulė, tai tik dalis platesnės problemos. Kaip anksčiau rašėme, daugelis populiarių svetainių iš tiesų gali naudotis jūsų duomenimis: Šokiruojanti tiesa: 75 % populiariausių svetainių vagia jūsų asmeninius duomenis