Yapay Zeka ve Makine Öğrenimi , Veri Gizliliği , Veri Güvenliği
Tarayıcı Araçları Chatbot Verilerini Yakalar, Veri Komisyoncusuna Satar: Koi Security
Rashmi Ramesh (raşmiramesh_) •
22 Aralık 2025
Chrome kullanıcıları için ücretsiz, istemcisiz bir VPN vaat eden bir tarayıcı uzantısı, yapay zeka sohbet robotu platformlarından konuşmaları topluyor ve verileri üçüncü taraf aracılara satıyor.
Ayrıca bakınız: İsteğe Bağlı | Eşsiz Keşif ve Savunma ile API Güvenliğini Dönüştürün
Koi Security, Chrome Web Mağazası’nda 4,7 yıldız derecelendirmesi ve “Öne Çıkan” rozeti taşıyan Urban VPN Proxy’nin Temmuz ayından bu yana sekiz büyük AI platformundan konuşma verileri topladığını ve bunun birden fazla uzantıda yaklaşık 8 milyon kullanıcıyı etkilediğini söyledi. Uygulama, kullanıcıların ChatGPT, Claude, Gemini, Microsoft Copilot, Perplexity, DeepSeek, Grok ve Meta AI’dan gönderdiği her istemi ve aldıkları yanıtı topladı.
Veri toplama, VPN işlevselliğinden bağımsız olarak çalışır. Kullanıcılar VPN’yi açsa da, bağlantısını kesse de, toplama işlemi arka planda sürekli olarak çalışır ve kullanıcıya bunu devre dışı bırakma seçeneği sunulmaz. Koi Security’nin kurucu ortağı ve CTO’su Idan Dardikman, koleksiyonu durdurmak isteyen kullanıcıların uzantıyı tamamen kaldırması gerektiğini söyledi.
Aynı yayıncının Chrome ve Edge tarayıcıları için sunduğu 1ClickVPN Proxy, Urban Tarayıcı Koruması ve Urban Reklam Engelleyici dahil olmak üzere yedi ek uzantı da kullanıcıları gözetliyor. Çoğu, ilgili uygulama mağazalarından, uzantıların manuel incelemeden geçtiğini ve Google’ın kullanıcı deneyimi ve tasarım açısından yüksek standartlar olarak tanımladığı standartları karşıladığını gösteren “Öne Çıkanlar” rozetini taşıyor.
Ücretsiz VPN hizmetleri uzun zamandır bir gözetim unsuruyla birlikte geliyor. Kasım ayında Google, kullanıcıları ücretsiz VPN’lere karşı dikkatli olmaları konusunda uyardı ve bunların özel mesajlar ve hesap kimlik bilgileri gibi hassas verileri çalabilecekleri konusunda uyardı. Facebook, Onavo VPN yan kuruluşundan genç kullanıcılar hakkında veri topladığı için yoğun tepkiyle ve 2023’te 20 milyon Avustralya doları para cezasıyla karşı karşıya kaldı.
Urban VPN toplama işlevi, 9 Temmuz’da yayınlanan 5.5.0 sürümünde ortaya çıktı; önceki sürümler, AI konuşma yakalama yeteneklerini içermiyordu. Chrome ve Edge uzantıları varsayılan olarak otomatik olarak güncellenir; bu, VPN işlevi için uzantıyı yükleyen kullanıcıların gözetim kodunu bildirim veya izin olmadan aldığı anlamına gelir. Koi Security, bu tarihten sonra Urban VPN çalıştırırken hedeflenen AI platformlarını kullanan herkesin, konuşmalarının kaydedildiğini ve üçüncü taraflarla paylaşıldığını varsayması gerektiğini söyledi.
Uzantı, tarayıcı sekmelerini izler ve kullanıcılar seçilen AI platformlarını ziyaret ettiğinde sayfalara özel yürütücü komut dosyaları enjekte eder. Her platformun kendi komut dosyası vardır, örneğin chatgpt.js veya claude.js. Enjekte edildikten sonra bu komut dosyaları geçersiz kılınır fetch Ve XMLHttpRequestağ isteklerini işleyen temel tarayıcı API’leri olup, uzantının, tarayıcı sayfayı oluşturmadan önce sayfadaki tüm ağ trafiğine müdahale etmesine olanak tanır.
Bir AI sohbet robotu yanıt gönderdiğinde veya kullanıcı bir istem gönderdiğinde uzantı, ham API trafiğini yakalar. Enjekte edilen komut dosyası, yapay zekaya gönderilen her bilgi istemi, alınan her yanıt, konuşma tanımlayıcıları, zaman damgaları, oturum meta verileri ve kullanılan belirli yapay zeka platformu ve modeli dahil olmak üzere konuşma verilerini çıkarmak için yakalanan API yanıtlarını ayrıştırır. Betik bu verileri paketler ve aracılığıyla gönderir. window.postMessage tanımlayıcıyla etiketlenmiş, uzantının içerik komut dosyasına PANELOS_MESSAGE. İçerik komut dosyası, verileri sıkıştırıp Urban VPN sunucularına ileten bir arka plan hizmet çalışanına iletir.
Urban VPN Proxy, veri komisyoncusu şirketi BiScience ile ilişkisini sürdüren Urban Cyber Security Inc. tarafından işletilmektedir. Secure Annex’ten Wladimir Palant ve John Tuckner’ın da aralarında bulunduğu güvenlik araştırmacıları daha önce BiScience’ın veri toplama uygulamalarını belgelemişti. Araştırmaları, BiScience’ın milyonlarca kullanıcıdan tıklama akışı verilerini ve tarama geçmişini topladığını, verileri yeniden tanımlamayı mümkün kılan kalıcı cihaz tanımlayıcılarına bağladığını, kullanıcı verilerini toplayıp satmaları için üçüncü taraf uzantı geliştiricilerine bir SDK sağladığını ve AdClarity ve Clickstream OS gibi ürünler aracılığıyla toplu veriler sattığını ortaya çıkardı.
Koi Güvenlik bulguları, BiScience’ın veri toplama operasyonlarının tarama geçmişinden tam yapay zeka konuşmalarına kadar genişlediğine işaret ediyor. Urban VPN’in gizlilik politikası, şirketin web tarama verilerini ticari olarak kullanılan ve iş ortaklarıyla paylaşılan öngörüler oluşturmak için ham verileri kullanan bağlı şirketi BiScience ile paylaştığını söyleyerek veri akışını kabul ediyor.
Urban VPN Proxy için artık devre dışı bırakılan Chrome Web Mağazası girişi, yapay zeka korumasını bir özellik olarak tanıtıyor ve tarama deneyimlerini kimlik avı girişimlerinden, kötü amaçlı yazılımlardan ve izinsiz giren reklamlardan korumaya yardımcı olan gelişmiş VPN korumasını tanımlıyor. Listede, AI koruma kontrolünün, e-posta adresleri veya telefon numaraları gibi kişisel veriler istendiği, şüpheli veya güvenli olmayan bağlantılar için AI sohbet yanıtlarını incelediği ve kullanıcılar tıklamadan veya istemleri göndermeden önce uyarılar görüntülendiği iddia ediliyor. Mağaza girişinde ayrıca verilerin onaylanmış kullanım durumları dışında üçüncü taraflara satılmadığı da belirtiliyor.
Dardikman’ın, Koi’nin uzantının davranışı hakkında Google veya Microsoft ile iletişime geçmediğini, çünkü uzantının kullanıcı beklentilerini ihlal etse bile, muhtemelen belirtilen politikaları dahilinde gri bir alanda bulunduğunu söylediği bildirildi. Dardikman, gözetimin teknik olarak bir gizlilik politikasında açıklanmış olmasının kullanıcı deneyimini değiştirmediğini söyledi. Kullanıcılar gizlilik koruması için bir VPN yükler, yapay zeka şirketleriyle paylaştıklarında dikkatli olmalarını söyleyen yapay zeka koruma uyarılarını görür ve bu arada yazdıkları her kelime bir veri aracısına gönderilir.
Dardikman, insanların arama motorlarıyla paylaşmadıkları sırlarını yapay zeka chatbotlarına anlattığını söyledi. Kullanıcılar chatbotlara tıbbi endişeler, mali ayrıntılar hakkında sorular sordu ve ilişki sorunları yaşadıklarını itiraf etti.