Исследователи в области кибербезопасности из компании OX Security, возглавляемые Моше Симаном Тов Бустаном, совместно с фирмой Secure Annex раскрыли крупномасштабную операцию по краже данных. Жертвами стали более 900 000 пользователей, чьи логи чатов с искусственным интеллектом и данные браузинга были скомпрометированы через два вредоносных расширения для браузера. Джон Такнер, представитель Secure Annex, присвоил этой специфической атаке кодовое название «Prompt Poaching» («Браконьерство промптов»), подчеркивая нацеленность злоумышленников на перехват запросов к генеративным моделям.
Злоумышленники распространяли вредоносное программное обеспечение, маскируясь под легитимное приложение
Техническая реализация атаки начиналась с того, что расширение запрашивало разрешение на сбор «анонимных, неидентифицируемых аналитических данных», якобы необходимых для улучшения функциональности боковой панели. Как только пользователь предоставлял доступ, активировался вредоносный код. Программа начинала мониторинг всех открытых URL-адресов в вкладках Chrome и использовала DOM-скрейпинг — метод сканирования структуры веб-страницы для поиска и извлечения сообщений из чатов. Похищенная информация эксфильтровалась на командные серверы (C2) каждые 30 минут.
Инфраструктура злоумышленников была построена с использованием платформы веб-разработки на базе ИИ под названием Lovable, где размещались политики конфиденциальности и другие элементы для сокрытия следов. Основными целями атаки стали платформы OpenAI (ChatGPT) и DeepSeek. Для вывода украденных данных использовались домены
Спектр похищенной информации крайне широк и включает полное содержание сессий разговоров с ИИ, историю поисковых запросов в браузере и внутренние корпоративные URL-адреса. Эксперты предупреждают о серьезных последствиях, таких как корпоративный шпионаж, раскрытие интеллектуальной собственности, кража личности и использование данных для целевых фишинговых кампаний. Кроме того, существует высокий риск продажи массивов этой информации на подпольных форумах.
В ходе расследования Secure Annex также выявила, что тактику «Prompt Poaching» используют и вполне легитимные компании для монетизации пользовательских данных. В частности, под подозрение попало расширение Similarweb с базой в 1 миллион пользователей и расширение Stayfocusd (600 000 пользователей), владельцем которого является Sensor Tower. Согласно данным отчета, Similarweb внедрила возможность мониторинга разговоров в мае 2025 года. 30 декабря 2025 года компания обновила политику конфиденциальности касательно сбора входных данных ИИ, а 1 января 2026 года добавила всплывающее окно с условиями обслуживания, где указано, что данные собираются для метрик трафика и вовлеченности.
Методы сбора данных у Similarweb включают перехват «входных и выходных данных ИИ»: промптов, поисковых запросов, загруженных файлов (изображения, видео, текст, CSV) и результатов генерации. Для этого используется DOM-скрейпинг или перехват нативных API браузера, таких как
Джон Такнер из Secure Annex прогнозирует, что текущая ситуация — это «только начало», поскольку компании осознают высокую ценность инсайтов, полученных от ИИ, а разработчики ищут способы монетизации через маркетинговые библиотеки. На данный момент остается «серая зона» в вопросе того, нарушает ли динамическая загрузка кода политику Google в отношении расширений единого назначения. Пользователям настоятельно рекомендуется немедленно удалить упомянутые расширения, избегать установки ПО из неизвестных источников и не доверять слепо пометке «Рекомендовано» в магазинах приложений.
Изображение носит иллюстративный характер
Злоумышленники распространяли вредоносное программное обеспечение, маскируясь под легитимное приложение
Chat with all AI models (Gemini, Claude, DeepSeek...) & AI Agents от разработчика AITOPIA, аудитория которого составляет около 1 миллиона человек. Первым выявленным поддельным расширением стало Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI с идентификатором fnmihdojmnkclgjpcoonokmkhjpjechg. Несмотря на то, что с него был снят значок «Рекомендовано» (Featured), на момент обнаружения оно имело 600 000 пользователей и оставалось доступным для скачивания. Вторым вредоносным инструментом оказалось расширение под названием AI Sidebar with Deepseek, ChatGPT, Claude, and more. Техническая реализация атаки начиналась с того, что расширение запрашивало разрешение на сбор «анонимных, неидентифицируемых аналитических данных», якобы необходимых для улучшения функциональности боковой панели. Как только пользователь предоставлял доступ, активировался вредоносный код. Программа начинала мониторинг всех открытых URL-адресов в вкладках Chrome и использовала DOM-скрейпинг — метод сканирования структуры веб-страницы для поиска и извлечения сообщений из чатов. Похищенная информация эксфильтровалась на командные серверы (C2) каждые 30 минут.
Инфраструктура злоумышленников была построена с использованием платформы веб-разработки на базе ИИ под названием Lovable, где размещались политики конфиденциальности и другие элементы для сокрытия следов. Основными целями атаки стали платформы OpenAI (ChatGPT) и DeepSeek. Для вывода украденных данных использовались домены
chatsaigpt[.]com и deepaichats[.]com, а управление политиками и инфраструктурой осуществлялось через адреса chataigpt[.]pro и chatgptsidebar[.]pro. Спектр похищенной информации крайне широк и включает полное содержание сессий разговоров с ИИ, историю поисковых запросов в браузере и внутренние корпоративные URL-адреса. Эксперты предупреждают о серьезных последствиях, таких как корпоративный шпионаж, раскрытие интеллектуальной собственности, кража личности и использование данных для целевых фишинговых кампаний. Кроме того, существует высокий риск продажи массивов этой информации на подпольных форумах.
В ходе расследования Secure Annex также выявила, что тактику «Prompt Poaching» используют и вполне легитимные компании для монетизации пользовательских данных. В частности, под подозрение попало расширение Similarweb с базой в 1 миллион пользователей и расширение Stayfocusd (600 000 пользователей), владельцем которого является Sensor Tower. Согласно данным отчета, Similarweb внедрила возможность мониторинга разговоров в мае 2025 года. 30 декабря 2025 года компания обновила политику конфиденциальности касательно сбора входных данных ИИ, а 1 января 2026 года добавила всплывающее окно с условиями обслуживания, где указано, что данные собираются для метрик трафика и вовлеченности.
Методы сбора данных у Similarweb включают перехват «входных и выходных данных ИИ»: промптов, поисковых запросов, загруженных файлов (изображения, видео, текст, CSV) и результатов генерации. Для этого используется DOM-скрейпинг или перехват нативных API браузера, таких как
fetch() и XMLHttpRequest(), что схоже с методами работы Urban VPN Proxy. Расширение загружает удаленные конфигурационные файлы с логикой парсинга для ChatGPT, Anthropic Claude, Google Gemini и Perplexity, затрагивая версии браузеров Chrome и Edge (версия для Firefox не обновлялась с 2019 года). Хотя компания заявляет, что стремится фильтровать идентификаторы и не собирать персональные данные, абсолютных гарантий анонимности не предоставляется. Джон Такнер из Secure Annex прогнозирует, что текущая ситуация — это «только начало», поскольку компании осознают высокую ценность инсайтов, полученных от ИИ, а разработчики ищут способы монетизации через маркетинговые библиотеки. На данный момент остается «серая зона» в вопросе того, нарушает ли динамическая загрузка кода политику Google в отношении расширений единого назначения. Пользователям настоятельно рекомендуется немедленно удалить упомянутые расширения, избегать установки ПО из неизвестных источников и не доверять слепо пометке «Рекомендовано» в магазинах приложений.
