Tel Aviv merkezli Koi güvenlik firması, Google Chrome Mağazası’nda yer alan Urban VPN Proxy uzantısının milyonlarca kullanıcısının yapay zeka sohbetlerini gizlice topladığı ve sattığı operasyonu tespit etti.
Uzantı, yaklaşık 6 milyon kullanıcıya sahip olup Chrome Web Mağazası’nda Google tarafından verilen “öne çıkan” rozetine sahip bulundu. Koi araştırmacısı Idan Dardikman’ın kaydettiği üzere, uzantı tipik bir VPN işlevinin ötesine geçerek, OpenAI’nin ChatGPT’si, Anthropic’in Claude’u, Google Gemini, DeepSeek ve xAI’nin Grok’u gibi önde gelen yapay zeka platformlarından sohbetleri kesen “yürütücü” betikler içeriyor.
Toplanan veriler, kullanıcıların sohbet botlarına sorduğu her şeyi kapsıyor. Dardikman’ın belirttiği gibi, “tıbbi sorular, finansal detaylar, tescilli kodlar, kişisel ikilemler, hepsi ‘pazarlama analitiği amaçları’ için satılıyor.” Veri toplama, VPN açık veya kapalı olsun fark etmeksizin sürekli olarak gerçekleştiriliyor. Betik varsayılan olarak etkinleştirilmiş durumda ve kullanıcı arayüzünde bunu devre dışı bırakacak bir anahtar bulunmuyor; toplamanın durdurulması için uzantının tamamen kaldırılması gerekiyor.
Uzantının arkasındaki Urban Cyber Security Inc. şirketi, gizlilik politikasının açıkça aktardığı üzere, “web tarama verilerini bağlı şirketimizle paylaşıyoruz” diyor. Bu şirket, BiScience adlı veri aracısı olup ham verileri işleyerek ticari ortaklara içgörüler sağlıyor. Buna karşın, uzantının Chrome Web Mağazası sayfası, “verileriniz onaylanmış kullanım alanları dışında üçüncü taraflara satılmıyor” ve “ürünün temel işleviyle ilgisiz amaçlar için kullanılmıyor veya aktarılmıyor” şeklinde beyanda bulunuyor.
Koi’nin araştırması, aynı yayıncının en az yedi ek uygulamayı işlettiğini ve bunların tamamında aynı yapay zeka veri toplama işlevinin bulunduğunu ortaya koydu. Bu uygulamaların tamamı dışında biri hariç hepsi Google’dan “öne çıkan” rozetine sahip. Toplamda 2 milyondan fazla kullanıcıya ulaşan bu uygulamalar, benzer şekilde veri hasadı yapıyor.
Dardikman, “Bu uzantılardan herhangi birini yüklü olanlar, derhal kaldırılmalı. Temmuz 2025’ten beri yaptığınız tüm yapay zeka sohbetlerinin yakalandığı ve üçüncü taraflarla paylaşıldığı varsayılmalı” diye ifade etti. Koi firması, kullanıcıları bu uzantıları hemen kaldırmaları konusunda uyardı.
Ayrıca, aynı yayıncıya ait diğer uygulamaların gizlilik politikalarının benzer kazıma izinleri içerebileceği belirtildi. Kullanıcıların, yüklü oldukları diğer uzantı ve uygulamaların gizlilik politikalarını incelemeleri önerildi. Araştırma, ücretsiz VPN’lerin veri toplama risklerini bir kez daha gözler önüne serdi.
