Queste estensioni “di sicurezza” spiano le tue chat con ChatGPT e altre AI (milioni di utenti coinvolti)

Per molti utenti l’AI conversazionale è diventata uno strumento di utilizzo più che quotidiano. Non solo domande tecniche o curiosità, ma scelte di vita, problemi di salute, valutazioni finanziarie, codice proprietario. Un dialogo continuo con il chatbot che appare spesso più sincero di quello che si ha con colleghi o amici. Proprio per questo, la scoperta che tali conversazioni possano essere intercettate e rivendute da strumenti che promettono privacy e sicurezza rappresenta un importante campanello di allarme.

I ricercatori di KOI Security segnalano la scoperta di alcune estensioni browser molto diffuse, presentate come VPN, ad blocker o strumenti di protezione, che in realtà implementano una raccolta sistematica delle conversazioni attingendo ai principali servizi AI.

Estensioni browser che spiano e raccolgono le conversazioni con i chatbot AI

L’analisi non ha portato alla luce una singola estensione marginale o poco utilizzata, ma un ecosistema di componenti largamente adottati, con milioni di installazioni e badge di affidabilità rilasciati dagli store ufficiali. Il dato critico non è solo cosa viene raccolto, ma come e da quando:

• La funzionalità di intercettazione delle chat AI è stata introdotta tramite aggiornamento automatico ed è abilitata di default.
• Non è disattivabile tramite interfaccia.
• Opera anche quando la funzione principale dichiarata (ad esempio la VPN) non è in uso.

In altre parole, l’utente non ha alcun controllo reale sul trattamento di questi dati. Le estensioni analizzate (KOI cita Urban VPN Proxy, Urban Browser Guard, Urban Ad Blocker, 1ClickVPN Proxy per Chrome ed Edge) sono in grado di intercettare le conversazioni con numerosi servizi di AI, tra cui:

• ChatGPT
• Claude
• Gemini
• Microsoft Copilot
• Perplexity
• DeepSeek
• Grok (xAI)
• Meta AI

Gli esperti sostengono che non si tratta di un supporto generico, ma di un’implementazione mirata: per ciascuna piattaforma esistono script dedicati, progettati specificamente per comprendere le API corrispondenti e il formato delle risposte.

Analisi tecnica del meccanismo di intercettazione

Dal punto di vista tecnico, il funzionamento è particolarmente invasivo e sofisticato.

L’estensione monitora le schede aperte nel browser. Quando l’utente accede a una delle piattaforme AI supportate, è automaticamente iniettato uno script specifico per quel servizio direttamente nel contesto della pagina.

Gli script intercettano e sovrascrivono funzioni fondamentali come fetch() e XMLHttpRequest in maniera tale da osservare, tramite l’estensione, tutte le richieste e risposte di rete prima che il browser le elabori o le visualizzi. Di fatto, ogni prompt inviato e ogni risposta ricevuta passa prima attraverso il codice dell’estensione.

Esfiltrazione e trasferimento verso server remoti

KOI mette in evidenza che i dati raccolti dalle estensioni sono quindi successivamente compressi e trasmessi a server remoti riconducibili all’operatore del servizio. Il processo è continuo e indipendente dallo stato della VPN o da eventuali opzioni di “protezione” visibili all’utente.

Considerato che Chrome ed Edge aggiornano le estensioni in modo automatico, milioni di utenti si sono ritrovati con un software radicalmente diverso da quello installato inizialmente e un meccanismo che ha iniziato a “spiare” le loro conversazioni personali con i chatbot AI.

Il paradosso della “AI Protection”

Le estensioni coinvolte pubblicizzano una funzione di “protezione AI”, descritta come un sistema di avvisi contro la condivisione accidentale di dati personali; link sospetti nelle risposte dei modelli; contenuti potenzialmente pericolosi. Dal punto di vista concettuale, l’idea è rassicurante. Dal punto di vista implementativo, è fuorviante.

Nel complesso, la base installata supera diversi milioni di utenti. Chi installa un ad blocker non ha alcun motivo di aspettarsi che le proprie conversazioni con un assistente AI vengano raccolte e monetizzate.

Dal punto di vista legale, alcuni riferimenti alla raccolta delle conversazioni AI esistono nel testo del consenso iniziale e nelle privacy policy, spesso lunghe e poco leggibili. Tuttavia, come spiegano dai KOI, il linguaggio utilizzato minimizza la portata reale del trattamento e la finalità commerciale emerge solo in sezioni secondarie. Ancora più problematico è il fatto che gli utenti che avevano installato le estensioni prima dell’introduzione di queste funzionalità non hanno mai espresso un consenso esplicito aggiornato.

Dietro le quinte: il modello di business

Il soggetto che ha immesso online le estensioni, fa ancora notare KOI, è collegato a una realtà specializzata nella raccolta e rivendita di dati di navigazione. Storicamente, il modello si è basato su clickstream, cronologia di navigazione e identificatori persistenti di dispositivo.

La novità consiste nell’evoluzione verso una nuova categoria di dati: le conversazioni AI, che spesso contengono informazioni molto più riservate (anche questo sarebbe un punto particolarmente delicato) rispetto alla semplice navigazione Web.

Il ruolo degli store ufficiali

Le estensioni coinvolte hanno superato i processi di revisione e hanno ottenuto badge di qualità e affidabilità. Un dato che solleva interrogativi importanti:

• Le revisioni tecniche analizzano realmente il comportamento dinamico del codice?
• Le politiche che vietano la rivendita di dati a data broker vengono applicate in modo efficace?
• Quanto peso ha il modello di business rispetto alla tutela dell’utente finale?

Se uno strumento certificato come “affidabile” svolge attività di sorveglianza estesa, il problema non è certo riconducibile al singolo sviluppatore! In chiusura dell’analisi elaborata da KOI, ci sono tutti i riferimenti alle estensioni in questione e, per ciascuna di esse, l’ID univoco corrispondente sugli store di Chrome ed Edge.

L’immagine in apertura è di Koi Security LTD (Israele)