前言:便利背後的「糖衣毒藥」
在生成式 AI 爆發的時代,ChatGPT 與 DeepSeek 已經成為許多人工作與生活中的「救命稻草」。為了追求更極致的操作體驗,不少用戶會選擇安裝 Chrome 瀏覽器的擴充功能(Extensions)來強化 AI 功能。然而,正所謂「天下沒有白吃的午餐」,最近資安專家卻踢爆了一個令人背脊發涼的消息:有兩款熱門擴充功能竟然在背後「暗度陳倉」,偷偷竊取了超過 90 萬名用戶的對話紀錄!
這場資安風暴不僅讓我們重新審視瀏覽器插件的安全性,更提醒了所有 AI 使用者,當你在與 AI 暢所欲言時,可能正有雙眼睛在暗處「守株待兔」。
新聞重點:90 萬用戶慘遭「看光光」
根據資安媒體 The Hacker News 的最新報導,資安研究人員在 Google Chrome 線上應用程式商店中,揪出了兩款披著羊皮的惡意擴充功能。以下是這起事件的核心摘要:
- 受害者眾: 這兩款插件的累積安裝次數高達 90 萬次,影響範圍之大,令人咋舌。
- 竊資手段: 這些擴充功能表面上提供 AI 輔助功能,實則在後台秘密監控用戶與 ChatGPT 及 DeepSeek 的所有對話,並將其外傳至遠端伺服器。
- 數據外洩: 除了 AI 對話內容,研究顯示連用戶的瀏覽紀錄(Browsing Data)也難逃魔掌,被駭客一併打包帶走。
這兩款擴充功能的運作方式可謂「畫蛇添足」——在正常的 AI 網頁上額外注入惡意程式碼,用戶在不知不覺中就已經「羊入虎口」。
深度解析:為什麼駭客盯上了你的 AI 對話?
或許你會問:「我只是問 AI 晚餐要吃什麼,被偷看有什麼關係?」這就是標準的「防人之心不可無」。在資安專家的眼裡,AI 對話紀錄簡直是「藏汙納垢」的寶庫,具有極高的商業與犯罪價值:
- 企業機密外洩: 許多工程師會將未公開的程式碼丟給 AI 除錯,或是行銷企劃將尚未發表的專案交由 AI 潤飾。這些內容一旦被駭客掌握,企業損失將難以估計。
- 個人隱私拼圖: 人們往往對 AI 卸下心防,在對話中提及居住地、公司名稱、甚至財務狀況。駭客可以藉此進行精準的「釣魚詐騙」。
- 身分驗證風險: 部分對話可能包含敏感的 API Key 或 Session Token,這對駭客來說簡直是「信手拈來」的開鎖工具。
資安小學堂:如何避免「賠了夫人又折兵」?
面對層出不窮的惡意插件,我們不能只是「坐以待斃」。身為精明的數位公民,你應該採取以下防護措施:
- 斷捨離,清查擴充功能: 定期檢查瀏覽器中已安裝的插件。如果某些工具已經很久沒用,或者來源不明,請立刻「斬草除根」。
- 權限審核: 安裝時若發現一個簡單的 AI 助手要求「讀取並變更您在所有網站上的所有資料」,這就是典型的「項莊舞劍,意在沛公」,請務必提高警覺。
- 官方管道最保險: 盡量使用 OpenAI 或 DeepSeek 官方提供的 App 或網頁版,避免使用來路不明的「第三方增強版」。
- 亡羊補牢,未為晚也: 如果你曾安裝過類似功能的插件,建議立刻更改相關帳號密碼,並檢查 AI 歷史紀錄中是否有敏感資訊,儘速刪除。
結語:如履薄冰的數位隱私
這次的 Chrome 擴充功能醜聞,再次為我們敲響了警鐘。在追求科技便利的同時,我們往往容易「因小失大」,忽略了最基本的資安守則。數位世界雖然五光十色,但也充滿陷阱,唯有保持「如履薄冰」的謹慎態度,才能在享受 AI 利好的同時,保住自己的隱私與財產安全。
別讓你的 AI 助手,最後變成了駭客派來的「臥底」!
