Ücretsiz ve güvenli bir VPN olarak tanıtılan popüler bir tarayıcı uzantısının, ChatGPT, Claude, Gemini ve Microsoft Copilot dahil olmak üzere birden fazla AI sohbet robotu platformundaki kullanıcı konuşmalarını gizlice yakaladığı keşfedildi ve üretken yapay zeka çağında gizlilik ve veri istismarı konusunda yeni endişeler ortaya çıktı.
Wings’in aracı yapay zeka risk motorunu kullanan araştırmacılar, altı milyondan fazla yüklemeye ve 4,7 yıldız derecelendirmesine sahip bir Chrome uzantısı olan Urban VPN Proxy’nin, yapay zeka sohbet trafiğini engellemek, yakalamak ve dışarı çıkarmak için tasarlanmış gizli kod içerdiğini ortaya çıkardı.
Uzantı, Google tarafından öne çıkarıldı ve Chrome Web Mağazası’nın “Öne Çıkan” rozetini taşıyor; bu, çoğu kullanıcının asla sorgulamadığı bir güven ve uyumluluk düzeyine işaret ediyor.
Analize göre, 9 Temmuz 2025’te yayınlanan 5.5.0 sürümü, yapay zeka istemlerinin, yanıtlarının ve oturum meta verilerinin toplanmasını sağlayan yeni arka plan süreçlerini tanıttı. Bu komut dosyaları VPN işlevi devre dışı bırakıldığında bile çalışır.
Uzantı, desteklenen her yapay zeka platformu için, web sayfalarına enjekte edilen, tarayıcı ağ işlevlerini geçersiz kılan ve tüm istek ve yanıt verilerini gerçek zamanlı olarak engelleyen chatgpt.js ve claude.js gibi özel “yürütücü” komut dosyalarını dağıtır.
Yakalanan veriler; tam konuşmaları, konuşma kimliklerini, zaman damgalarını ve hangi yapay zeka modelinin kullanıldığına ilişkin bilgileri içerir.
Listenin en üstüne yakın: Urban VPN Proxy. 6 milyondan fazla kullanıcısı olan bir Chrome uzantısı. 58.000 yoruma göre 4,7 yıldız derecelendirmesi.
Bu bilgiler daha sonra sıkıştırılır ve Analytics.urban‑vpn.com ve stats.urban‑vpn.com gibi alanlar da dahil olmak üzere Urban VPN tarafından kontrol edilen uzak sunuculara iletilir.
Surveillance Network’e Gizlilik Sözü
Urban VPN, istemleri hassas veriler veya tehlikeli bağlantılar için tarayarak kullanıcıları koruduğunu iddia ederek “Yapay Zeka korumasını” temel bir özellik olarak tanıtıyor.
Betik, tüm ağ isteklerini işleyen temel tarayıcı API’leri olan fetch() ve XMLHttpRequest’i geçersiz kılar. Bu agresif bir tekniktir.
Ancak yönetmelik incelendiğinde bu bildirimlerin hasat sisteminden bağımsız olduğu ortaya çıktı. AI koruma geçişi, veri toplamayı engellemez, bu da özelliği esasen aldatıcı hale getirir.
Daha da rahatsız edici olanı, aynı toplama kodunun, 1ClickVPN Proxy, Urban Tarayıcı Koruması ve Urban Reklam Engelleyici dahil olmak üzere aynı geliştiricinin diğer yedi Chrome ve Edge uzantısında da mevcut olması ve toplamda tahmini 8 milyon kullanıcıyı etkilemesi.
Biri hariç hepsi Chrome veya Edge mağazalarında “Öne Çıkan” veya “Güvenilir” unvanını taşıyor.
Urban VPN, uzantılar ve yazılım geliştirme kitleri (SDK’ler) aracılığıyla tarama verilerini toplamasıyla tanınan İsrailli bir veri komisyoncusu olan BiScience Ltd.’ye bağlı bir şirket olan Urban Cyber Security Inc. tarafından işletilmektedir.
BiScience, bu davranışsal verileri AdClarity ve Clickstream OS gibi ticari analiz ürünleri aracılığıyla pazarlamaktadır.
Gizlilik politikası, “AI istemleri ve çıktılarının” toplandığını ve bunların “pazarlama analitiği amacıyla” paylaşıldığını açıkça kabul ediyor; bu, “verilerin üçüncü taraflara satılmadığını” iddia eden Chrome Web Mağazası girişiyle çelişiyor.
Sorumluluk ve Gözetim
Bu keşif, Google’ın uzantı inceleme sürecini sorguluyor çünkü Urban VPN, kullanıcı verilerinin veri aracılarıyla paylaşılmasını yasaklayan Chrome’un Sınırlı Kullanım politikasını ihlal etmesine rağmen Öne Çıkan statüsünü korumaya devam ediyor.
Uzmanlar, Temmuz 2025’ten sonra Urban VPN veya ilgili uzantıları kullanırken yapay zeka sohbet robotlarıyla etkileşime giren kullanıcıların, tıbbi, finansal veya kişisel bilgiler dahil olmak üzere özel görüşmelerinin toplandığını ve potansiyel olarak üçüncü taraflara satıldığını varsaymaları gerektiği konusunda uyarıyor.
Yayınlandığı tarihten itibaren uzantı hem Chrome hem de Edge mağazalarında herkese açık olarak kalmaya devam edecek.
Güvenlik araştırmacıları, özelliği kapatmak için kullanıcının kullanabileceği bir seçenek bulamadı. Veri sızmasını durdurmanın tek yolu uzantının tamamen kaldırılmasıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.