Populära tillägg för Chrome & Edge kopierar dina AI-chattar

Flera tillägg sparade mängder av AI-chattar med känslig data

Posted by Av Mikael Anderberg 7 minuters läsning
Hacker

Flera populära tillägg för Chrome och Edge, som marknadsfördes som verktyg för att skydda integritet och AI‑användning, visade sig i stället spela in detaljerade AI‑konversationer och skicka dem vidare till externa servrar. Cyber­säkerhetsföretaget Koi har analyserat tilläggen och funnit dold kod som systematiskt samlar in data från chattjänster som ChatGPT, Claude och Google Gemini.

TL;DR

  • Åtta webbläsartillägg för Chrome och Edge spelade in användares AI‑chattar och skickade dem till fjärrservrar.
  • Tillsammans hade tilläggen över åtta miljoner installationer, och sju bar officiella ”Featured”-märkningar från Google eller Microsoft.
  • Dolda skript var specifikt skrivna för att rikta in sig på bland annat ChatGPT, Claude, Gemini, Copilot, Perplexity, DeepSeek, Grok och Meta AI.
  • Skripten ersatte webbläsarens normala nätverksfunktioner för att fånga hela konversationer, inklusive både promptar och AI‑svar, innan de visades på skärmen.

Webbläsartillägg är små program som lägger till funktioner i Chrome, Edge och andra webbläsare. De kan till exempel erbjuda VPN‑tjänster, blockera annonser eller påstå sig skydda användare när de använder AI‑tjänster.

Koi undersökte flera tillägg som marknadsförde sig med fokus på integritet både Chrome Web Store och Microsoft Edge Add-ons.

Många av tilläggen marknadsförde sig tydligt med fokus på integritet. De beskrev funktioner som:

  • kostnadsfri VPN‑ruttning
  • annonsblockering
  • ”AI‑skydd” eller säkrare användning av chattbotar

Totalt hittade de åtta tillägg med mer än åtta miljoner installationer. Sju av dem hade dessutom en ”Featured”-märkning – en form av officiell rekommendation som signalerar att Google eller Microsoft har granskat och godkänt tillägget utifrån vissa kvalitets- eller säkerhetskriterier.

I beskrivningarna betonade utvecklarna ofta att data var anonymiserad och endast användes för ändamål som hade med tilläggets huvudfunktion att göra.

ChatGPT
Foto: Levart_Photography

Kod riktad mot AI‑chattjänster

Kois tekniska analys visade att varje granskat tillägg innehöll ett särskilt paket med åtta så kallade ”executor‑skript”. Dessa var uttryckligen anpassade för några av de mest använda AI‑chattjänsterna:

  • ChatGPT
  • Claude
  • Google Gemini
  • Copilot
  • Perplexity
  • DeepSeek
  • Grok
  • Meta AI

När en användare öppnade en av dessa tjänster i webbläsaren aktiverades skripten och injicerades i webbsidan. De tog sedan över vissa centrala funktioner som webbläsaren normalt använder för att skicka och ta emot data, till exempel fetch() och XMLHttpRequest.

Genom att ersätta dessa standardfunktioner kunde skripten fånga upp all kommunikation mellan webbläsaren och AI‑tjänsten, utan att det syntes för användaren.

Så komprometerades AI-chattarna av tilläggen

Kois CTO, Idan Dardikman, förklarade att den här utformningen gjorde det möjligt att registrera varje del av interaktionen med AI‑tjänsten redan innan något syntes på skärmen. Det innebar att tilläggen kunde:

  • läsa användarens promptar i rå text
  • ta del av AI:ns fullständiga svar
  • registrera tidsstämplar för meddelandena
  • skapa kompletta konversationsloggar i bakgrunden

Dessa loggar skickades sedan vidare till fjärrservrar som inte ingick i AI‑tjänsternas normala infrastruktur. Koi beskriver syftet som ”marknadsanalys”, vilket tyder på att datan kunde användas för kommersiella ändamål eller delas med externa aktörer.

En central iakttagelse i Kois rapport är att de dolda executor‑skripten fungerade separat från tilläggets påstådda huvudfunktioner. Om tillägget till exempel erbjöd VPN‑anslutning eller annonsblockering, så var datainsamlingen inte tekniskt kopplad till dessa funktioner.

Det här fick två viktiga konsekvenser:

  1. Att stänga av VPN‑delen eller annonsblockeringen stoppade inte övervakningen av AI‑chattar.
  2. Användaren hade ingen enkel inställning att ändra för att hindra loggningen, eftersom den låg på en annan nivå i tilläggets kod.

Enligt Koi fanns det bara ett säkert sätt att stoppa insamlingen av data: att helt inaktivera tillägget i webbläsaren eller avinstallera det.

urban vpn proxy screenshot
Bäst att undvika det här tillägget, om vi ska tro Koi.

Urban VPN Proxy

Koi upptäckte först beteendet i tillägget Urban VPN Proxy, ett populärt Chrome‑tillägg som bland annat marknadsför AI‑skydd som en del av sin säkerhetsprofil.

Enligt Koi började version 5.5.0 av Urban VPN Proxy – som släpptes efter den 9 juli 2025 – att samla in data från användarnas AI‑konversationer. Versionen misstänks ha:

  • registrerat användares chattar med tjänster som ChatGPT, Claude och Gemini
  • skickat dessa konversationer i sin helhet till Urban VPN:s servrar
  • delat informationen vidare med tredje part

Koi uppmanade därför användare som haft Urban VPN Proxy version 5.5.0 aktiv samtidigt som de använde AI‑tjänster att utgå från att deras konversationer inte längre är privata.

Efter att ha konstaterat problemen i Urban VPN Proxy sökte Koi vidare efter liknande mönster. Där hittade de sju ytterligare tillägg med i princip identisk datainsamlingskod.

Fyra av dessa tillägg fanns på Chrome Web Store och fyra på Microsoft Edge Add-ons. Kois genomgång pekar alltså på ett bredare mönster än ett enstaka ”misstag” i ett enskilt tillägg. Samma typ av kod, med samma inriktning mot stora AI‑plattformar, återkom i flera olika produkter med miljontals nedladdningar.

Det väcks frågor om hur effektivt Google och Microsofts granskningsprocesser fångar upp den här typen av dold funktionalitet, särskilt när tillägg får tydliga kvalitets- eller säkerhetsmärkningar.

Risken för dig som använt tilläggen

För användare som litar på webbläsartillägg för att skydda integritet eller förbättra AI‑användning innebär Kois fynd några centrala risker:

  • Även ”utvalda” eller ”rekommenderade” tillägg kan innehålla dold loggning av känslig information.
  • AI‑konversationer kan röra allt från arbetsrelaterade uppgifter och affärshemligheter till personliga funderingar, vilket gör dataläckor särskilt känsliga.
  • Marknadsföring av gratis VPN eller integritetsskydd utesluter inte att data samtidigt används för kommersiella syften.

Kois rekommendationer pekar mot försiktighet: om ett tillägg inte är nödvändigt, eller om dess affärsmodell är oklar trots avancerade ”gratis”‑funktioner, kan det vara säkrare att låta bli att installera det eller att avinstallera det om det redan används.

Sammantaget visar rapporten att webbläsartillägg som riktar in sig på AI‑chattar kan ge en känsla av ökad säkerhet, samtidigt som de i själva verket skapar nya integritetsrisker – särskilt när de i hemlighet kopierar och analyserar hela konversationer.

Taggar
Mikael Anderberg
Visa fler artiklar
Mikael Anderberg är en veteran inom teknikvärlden med stor kännedom kring tillverkare, nya tekniker och produkter. Har mångårig erfarenhet från blogg- och it-världen vilken bidrar till utvecklingen av Tekniksmart tillsammans med andra entusiaster. Mikael har i grunden expertis inom fotografering och kamerautrustning, copywriter och content editing, och SEO. Läs mer om mig här.
Skribent