ส่วนเสริมของ Chrome บางตัวแอบดักเก็บข้อมูลแชทของผู้ใช้งาน กับตัว AI

ส่วนเสริม หรือ Extension ของเว็บเบราว์เซอร์นั้น ถึงแม้จะช่วยสร้างความสะดวกให้กับผู้ใช้งานอย่างมากมาย แต่ส่วนเสริมหลายตัวก็สามารถเข้าถึงข้อมูลที่ผู้ใช้งานไม่ต้องการเปิดเผยได้ ดังเช่นข่าวนี้

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบว่าส่วนเสริมบน Google Chrome ที่มีให้ดาวน์โหลดบน Google Chrome Web Store บางตัวนั้นมีความสามารถในการเก็บข้อมูลที่ผู้ใช้งานทำการพูดคุย สั่งการ สื่อสารกับ AI (Artificial Intelligence หรือ ปัญญาประดิษฐ์) มากมายหลายตัว โดยครอบคลุมตั้งแต่ OpenAI ChatGPT, Anthropic Claude, Microsoft Copilot, DeepSeek, Google Gemini, xAI Grok, Meta AI, และ Perplexity ซึ่งส่วนเสริมที่เป็นประเด็นนั้นเป็นส่วนเสริมสำหรับการเข้าใช้งานเครือข่ายส่วนบุคคลเสมือน หรือ VPN (Virtual Private Network) ที่มีชื่อว่า Urban VPN Proxy โดยส่วนเสริมนี้เป็นส่วนเสริมที่มี Rating บน Web Store ที่สูงถึง 4.7 ซึ่งส่วนเสริมนี้มีให้ใช้งานบนเว็บเบราว์เซอร์ Microsoft Edge ผ่านทาง Microsoft Edge Add-ons Marketplace ที่มีผู้ดาวน์โหลดใช้งานมากถึง 1.6 ล้านราย

แต่ถึงแม้จะได้รับความนิยมสูง และให้คำมั่นสัญญาว่าจะดูแลความเป็นส่วนตัวของผู้ใช้งาน แต่ตัวอัปเดตเวอร์ชัน 5.5.0 ที่ได้ออกให้อัปเดตในช่วงเดือนกรกฎาคมที่ผ่านมา กลับมาพร้อมกับตัวเก็บข้อมูลการใช้งาน AI ของผู้ที่ใช้บริการส่วนเสริมนี้ด้วยการใช้งาน JavaScript ที่จะทำการเก็บข้อมูลทุกครั้งที่มีการใช้งาน AI แชทบอท โดยหลังจากที่ตัวสคริปท์ถูกยิง (Injection) ลงบนเว็บเบราว์เซอร์เป็นที่เรียบร้อยแล้ว ตัวสคริปท์จะเข้าทำงานแทนที่ API ของเว็บเบราว์เซอร์ในการจัดการคำขอของเครือข่าย (Network Requests) ในส่วนของ  fetch() และ XMLHttpRequest() เพื่อให้มั่นใจว่า ทุก Requests จะถูกเปลี่ยนเส้นทางไปยังโค้ดของตัวส่วนเสริมก่อน เพื่อให้ส่วนเสริมได้ทำการเก็บข้อมูล แล้วจึงส่งกลับไปยังเซิร์ฟเวอร์ที่ตั้งอยู่ที่ "analytics.urban-vpn[.]com" และ "stats.urban-vpn[.]com"

ซึ่งข้อมูลที่ถูกเก็บนั้นมีดังนี้

• คำสั่ง (Prompt) ทุกตัวที่ผู้ใช้งานป้อนลงไป
• คำตอบที่ได้จากแชทบอท
• ข้อมูลที่ใช้ในการระบุเวลาในการพูดคุย กับตัวแชทบอท (Timestamp)
• ข้อมูล Metadata ของ Session การใช้งาน
• ชื่อแพลตฟอร์ม AI และเวอร์ชันโมเดลที่ใช้

เรียกได้ว่าเก็บได้ครอบคลุมเลยทีเดียว ซึ่งเป็นที่น่าสังเกตว่า ในช่วงเดือนมิถุนายน ก่อนที่จะมีแพทช์ดังกล่าวออกมานั้น ทาง Urban VPN ซึ่งเป็นผู้พัฒนาส่วนเสริมดังกล่าว ได้ทำการอัปเดตนโยบาย (Policy) ว่าจะเริ่มทำการเก็บข้อมูลการใช้งานของผู้ใช้งานเพื่อเสริมสร้างความปลอดภัยในการใช้งานเว็บไซต์ (Safe Surfing) และเพื่อการตลาด และการเก็บข้อมูลการใช้งาน AI นั้นจะถูกกลั่นกรองโดยการตัดข้อมูลระบุตัวตนออก (De-Identified) แล้วเก็บข้อมูลในรูปแบบนิรนาม (Anonymous) แทน ซึ่งการเก็บข้อมูลนี้มีผลทั้งผู้ใช้งานบนเวอร์ชัน Chrome และ Edge นอกจากนั้นทางทีมวิจัยยังได้ตรวจพบส่วนเสริมอีก 3 ตัวที่มาจากผู้พัฒนาเดียวกัน และมีฟีเจอร์เก็บข้อมูลแบบเดียวกัน นั่นคือ

• 1ClickVPN Proxy
• Urban Browser Guard
• Urban Ad Blocker

แต่ช่วงกลางเดือนธันวาคมที่ผ่านมา พบว่าส่วนเสริมทั้ง 4 ตัวนั้นได้ถูกนำเอาออกจาก Google Chrome Web Store และ Microsoft Edge Add-ons Marketplace เป็นที่เรียบร้อยแล้ว