ملحقات جوجل كروم الضارة تسرق بيانات 900 ألف مستخدم

تمكنت ملحقات جوجل كروم الضارة من سرقة محادثات نماذج اللغة الكبيرة (LLM) وبيانات المتصفح من مئات الآلاف من المستخدمين. أفادت شركة أكس سكيورتي، المتخصصة في أمان التطبيقات، عن حملة تتعلق بملحقات جوجل كروم الضارة التي تتظاهر بأنها ملحقات شرعية من شركة تُدعى AItopia، والتي تضيف شريط جانبي على المواقع يمكّن من الدردشة مع نماذج اللغة الكبيرة الشهيرة مثل ChatGPT وDeepSeek.

وجد الباحثون في أكس أن ملحقين كانا ينسخان وظائف التطبيق الشرعي بينما يقومان أيضًا بسرقة محادثات المستخدم وبيانات التصفح إلى خادم القيادة والتحكم (C2). أحدهما، بعنوان "ChatGPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI"، كان لديه أكثر من 600,000 مستخدم وشارة "مميز" على جوجل كروم، بينما الآخر، "AI Sidebar with Deepseek, ChatGPT, Claude and more"، كان لديه أكثر من 300,000 مستخدم. على الرغم من أن الملحقات الضارة كانت متاحة على الإنترنت عندما نشرت أكس المدونة قبل بضعة أسابيع، إلا أنه قد تم إزالتها منذ ذلك الحين.

كيف سرقت ملحقات جوجل كروم للذكاء الاصطناعي بيانات المستخدمين

تطلب كلا الملحقين الضارين موافقة المستخدم على "بيانات التحليلات المجهولة وغير القابلة للتعريف"، بينما في الواقع، هذا هو بالضبط ما يستخدمونه لتمكين سرقة "محتوى المحادثة الكامل من جلسات ChatGPT وDeepSeek"، كما كتب مؤلف المدونة والباحث موشيه سيمون توف بوستان. سابقًا، أطلقت Secure Annex على ممارسة سرقة المحادثات الذكية اسم "سرقة المحادثات".

تظل خصوصية نماذج اللغة الكبيرة والتطبيقات المعتمدة عليها مصدر قلق متزايد للمنظمات، حيث يستمر المهاجمون في إيجاد طرق لاستغلال هذه السطوح الهجومية. يتم تسريب كمية هائلة من البيانات إلى خادم القيادة والتحكم الخاص بالمهاجم، بما في ذلك بيانات محادثات الذكاء الاصطناعي ونشاط المتصفح. وهذا يمكّن المهاجمين من سحب الشفرات المصدرية الخاصة المستخدمة في استفسارات التطوير، واستراتيجيات الأعمال، والبحوث السرية، وعناوين URL الكاملة من جميع علامات تبويب كروم، والمزيد.

يمكن استخدام هذه البيانات في التجسس الصناعي، وسرقة الهوية، وحملات التصيد المستهدفة، أو بيعها في المنتديات السرية. المنظمات التي قام موظفوها بتثبيت هذه الملحقات قد تكون قد عرضت دون علم الملكية الفكرية وبيانات العملاء ومعلومات الأعمال السرية للخطر. بالمقارنة، لا تتضمن ملحقات AITopia أي من وظائف القيادة والتحكم المذكورة، وقد صرحت أكس بأنها تكشف عن سياساتها المتعلقة بالبيانات بشكل صحيح.

تحتوي المدونة على مؤشرات على التهديدات لكل من الملحقات الضارة. توصي أكس سكيورتي أي شخص قام بتثبيت أي من التطبيقات بإزالتها على الفور، وينبغي على المستخدمين تجنب تثبيت الملحقات من مصادر غير معروفة، حتى لو كانت مصنفة على أنها "مميزة" في متجر ملحقات كروم.

كيف يستخدم المهاجمون بيانات الذكاء الاصطناعي وبيانات متصفح كروم المسروقة

سألت Dark Reading سيمون توف بوستان كيف يمكن للمهاجمين تحقيق الربح من بيانات الذكاء الاصطناعي وبيانات المتصفح المسروقة. قال الباحث إن العثور على معلومات قيمة أصبح أسهل من أي وقت مضى، بفضل الأكواد الآلية ونماذج اللغة الكبيرة، وأن إمكانية تحقيق الربح "أوسع مما قد يبدو في البداية". يمكن العثور على معلومات مالية مثل صور بطاقات الائتمان في محادثات الدردشة، بالإضافة إلى بيانات اعتماد الأعمال مثل كلمات مرور حسابات السحابة ومفاتيح واجهة برمجة التطبيقات.

لم تتمكن أكس من تحديد أهداف الحملة بشكل قاطع. "بعيدًا عن البيانات المالية المباشرة"، يضيف الباحث، "يوجد سوق نشط لتاريخ التصفح - سواء لأغراض التسويق المستهدف أو التجسس - ويمكن تحقيق الربح في ذلك النظام البيئي أيضًا."