90余万用户中招：恶意Chrome浏览器扩展插件大规模窃取AI对话记录

6月13日，多家安全机构披露了一起针对AI平台的恶意Chrome 浏览器插件投毒事件：攻击者在谷歌应用商店中发布多个伪装为“AI增强”“Prompt优化”“AI翻译”等类工具，窃取用户在ChatGPT、Claude、Gemini、Copilot、DeepSeek等主流AI助手上的完整对话记录、浏览记录与API密钥。

目前这组恶意Chrome扩展已感染超过90万名用户。目前Google已对其中一款扩展移除了“Featured”推荐标识，但两款恶意扩展仍未从Chrome Web Store下架。

据悉，攻击者利用Google搜索广告将恶意推广位排在自然搜索结果之上，诱导用户主动安装，并在安装后通过DOM树抓取技术，静默提取所有AI聊天平台的会话内容，并每隔30分钟批量上传至位于美国加州圣何塞的Cloudflare代理C2服务器。部分变种还会在用户的AI对话中注入隐藏指令，操纵大模型输出“建议用户安装其他恶意工具”或泄露企业敏感信息。

从影响范围评估，此次事件的数据暴露规模远超普通个人信息泄露范畴。分析样本显示，窃取的数据包中大量出现企业法务文件、财务报表、产品路线图、源代码片段等高价值商业情报，且受害组织中不乏全球《财富》500强企业——这些企业在日常运营中已广泛采用AI助手处理敏感业务流程，而员工自行安装的浏览器扩展恰好绕过了企业安全系统的监控边界。

AI 对话，正在成为新的高价值情报资产

此次大规模的浏览器侧窃密攻击事件说明，AI对话内容正成为新的高价值情报资产。此类数据可被武器化用于商业间谍活动、身份盗窃、定向钓鱼攻击或在暗网论坛打包出售。

此类攻击手法切中了企业使用 AI 过程中一个容易被忽视的薄弱点：很多员工在使用 AI 工具时，并不是只通过企业统一入口访问，而是会自行安装各种浏览器插件、AI 侧边栏、翻译助手、Prompt 工具。表面上看，这些插件提高了使用效率；但一旦插件存在恶意行为，企业输入到 AI 工具中的业务资料、代码片段、会议纪要、客户信息、产品方案等内容，就可能在用户毫无感知的情况下被同步带走。

这起事件再次提醒政企用户：AI 安全不能只盯模型本身，也不能只关注“员工有没有把数据发给 AI”。在真实办公环境中，浏览器、插件、账号、API Key、AI 入口、终端环境，都是 AI 使用链路的一部分。只要其中一个环节失控，企业的 AI 对话内容就可能从受控流程中流出。AI 时代的数据泄露不一定发生在模型侧，也可能发生在浏览器侧、插件侧和使用入口侧。这些都应该成为企业 AI 安全治理的一部分。

消息来源：1. https://www.ox.security/blog/malicious-chrome-extensions-steal-chatgpt-deepseek-conversations/