Neden önemli: Yapay zeka sohbetlerinde paylaşılan kişisel, ticari veya gizli bilgiler fark edilmeden üçüncü tarafların eline geçebilir. Üstelik bu tür izleme mekanizmaları, gizlilik vaadiyle kullanılan VPN eklentilerinin tam tersine çalıştığını gösteriyor.
Google Chrome ve Microsoft Edge mağazalarında yer alan Urban VPN Proxy adlı eklentiyle ilgili güvenlik bulguları, milyonlarca kullanıcının yapay zeka sohbetlerinin gizlice kaydedilmiş olabileceğini gündeme getirdi. İncelemelere göre eklenti, ChatGPT, Claude, Microsoft Copilot ve Gemini gibi popüler platformlardaki yazışmaları hedef alıyor. Aynı geliştiriciye ait yedi farklı tarayıcı eklentisinde de benzer bir veri toplama mekanizmasının bulunduğu belirtiliyor.
Yapay zeka sayfalarına script enjekte ediliyor
Teknik analizlere göre Urban VPN, kullanıcı bir yapay zeka platformunu ziyaret ettiğinde ilgili web sayfasına özel bir script enjekte ediyor. Bu script, tarayıcının normal güvenlik sınırlarını aşarak kullanıcı ile yapay zeka servisi arasındaki tüm trafiği izleyebiliyor. Kullanıcının yazdığı her soru ve sistemden gelen her yanıt bu yolla yakalanıyor, ardından zaman damgası ve oturum bilgileriyle birlikte kaydediliyor. Toplanan verilerin daha sonra eklentinin kendi sunucularına aktarıldığı ifade ediliyor.
VPN açık olmasa da veri toplayabiliyor
Veri toplama özelliğinin Urban VPN’in 5.5.0 sürümünden bu yana aktif olduğu belirtiliyor. Daha da kritik olan nokta ise bu izlemenin VPN açık ya da kapalı olsa bile çalışması. Kullanıcı eklentiyi devre dışı bıraksa dahi arka planda veri toplama süreci devam edebiliyor. Uzmanlara göre bu kaydı engellemenin tek yolu, eklentiyi tarayıcıdan tamamen kaldırmak.
Risk sadece Urban VPN ile sınırlı değil
Aynı geliştiriciye ait 1ClickVPN Proxy, Urban Browser Guard ve Urban Ad Blocker gibi başka eklentilerde de benzer kod yapılarının bulunduğu bildiriliyor. Güvenlik uzmanları, özellikle ücretsiz VPN ve benzeri tarayıcı eklentileri konusunda daha temkinli olunması gerektiğini vurguluyor. Eklenti seçerken geliştirici itibarı, gizlilik politikası ve verilen izinlerin dikkatle incelenmesi; yapay zeka platformlarında hassas içeriklerle çalışırken şüpheli uzantıların tamamen kaldırılması öneriliyor.
Bu olay, resmi tarayıcı mağazalarında yer alan ve yüksek puanlara sahip görünen eklentilerin dahi ciddi gizlilik riskleri barındırabileceğini bir kez daha ortaya koyuyor.
