你昨天用 ChatGPT 幫公司寫了一份報價單。貼上了客戶名單、內部成本結構、還有一段討論競爭對手策略的對話。

你關掉了瀏覽器分頁。以為對話消失了。

但你裝的那個 Chrome 擴充功能，每 30 分鐘就把你跟 ChatGPT 的完整對話打包一次，發送到一個你從來沒聽過的伺服器。

這不是假設。這是 2026 年初到現在，一波接一波被揭露的 Chrome 擴充功能事件的真實結果。

事件 1：被 Google 蓋上「精選」徽章的木馬（90 萬用戶）

2026 年 1 月，安全公司 OX Security 公開了一份報告：兩個在 Chrome Web Store 上架的 AI 擴充功能，被發現每 30 分鐘把使用者與 ChatGPT 和 DeepSeek 的完整對話傳送到攻擊者的 C2 伺服器（來源）。

兩個擴充功能的安裝量分別是：

• Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI：60 萬用戶
• AI Sidebar with Deepseek, ChatGPT, Claude and more：30 萬用戶

合計 90 萬。

最諷刺的地方：第一個擴充功能獲得了 Google 的「精選（Featured）」徽章——這個徽章通常代表 Chrome Web Store 已經審核過並認為品質優良。

它們複製了一個合法的擴充功能叫 AITOPIA 的外觀和功能，在裡面偷偷加上監聽程式。使用者看到的是一個熟悉的 AI 側邊欄，看不到背後的事情：

1. 使用者打開 ChatGPT 的分頁
2. 擴充功能檢測到 URL 包含 chatgpt 或 deepseek
3. 它爬取頁面 DOM，抓出所有對話訊息
4. 每 30 分鐘把累積的對話打包，送到 deepaichats.com（或 chatsaigpt.com）
5. 如果你把它解除安裝，它會自動打開另一個同家族的惡意擴充功能，試圖讓你再裝一次

攻擊者還用了一個叫 Lovable 的 AI 驅動網站平台來託管隱私政策網頁——用 AI 來隱藏惡意 AI 擴充功能的行蹤。這很 2026。

事件 2：裝來保護隱私的擴充功能，本身就是監聽器（數百萬用戶）

2025 年 12 月，Koi Security 揭露了另一個案例：Urban VPN Proxy。這是一個以「保護隱私」為賣點的擴充功能，在 Chrome 和 Edge 商店累計有數百萬安裝量（來源）。

2025 年 7 月 9 日，發行商 Urban Cybersecurity 推送了 5.5.0 版本更新。在這個版本裡悄悄加入了一段程式碼，用來攔截使用者與八個 AI 平台的所有對話：

• ChatGPT
• Claude
• Gemini
• Microsoft Copilot
• Perplexity
• DeepSeek
• Grok（xAI）
• Meta AI

對話內容被打包，送到 Urban Cybersecurity 的母公司 BiScience——一家專門收集瀏覽歷史和設備 ID 的資料仲介商。

這個案例最值得注意的，是它不是「攻擊者駭進」去的。是擴充功能的發行商自己主動加上了這段程式碼。 使用者裝它是為了保護隱私，結果這個「隱私工具」本身就是攻擊者。

事件 3：合法、聲譽良好的擴充功能也在做同樣的事（160 萬用戶）

Secure Annex 的研究員 John Tuckner 給這個行為取了一個名字：Prompt Poaching（提示詞盜取）。他追蹤後發現，做這件事的不只是木馬，還有你可能每天都在用的合法擴充功能（來源）。

Similarweb（1,000,000 用戶）

一個網站分析公司的擴充功能。從 2025 年 5 月開始悄悄加入對話監聽能力。2026 年 1 月 1 日，它更新了隱私政策，正式寫明會收集：

使用者輸入 AI 工具的提示、查詢、內容、上傳或附加的檔案（例如圖片、影片、文字、CSV 檔案）及其他輸入，以及從這些 AI 工具收到的結果或其他輸出。

它的技術手法跟木馬完全一樣：DOM 爬取、劫持 fetch() 和 XMLHttpRequest() 原生 API。它會從遠端載入一個設定檔，裡面有針對 ChatGPT、Claude、Gemini、Perplexity 的客製化解析邏輯。

Sensor Tower Stayfocusd（600,000 用戶）

諷刺的是，這個擴充功能的賣點是「幫你專注、減少分心」。它也被發現有同樣的 AI 對話收集行為。

Similarweb 和 Stayfocusd 合計影響約 160 萬用戶。它們都還在正常運作中，還在 Chrome Web Store 上架，你現在去裝還能裝得到。

事件 4：16 個假 ChatGPT 擴充功能，目標是你的 Session Token

另一個攻擊類別更可怕：不是偷對話內容，是偷你的 ChatGPT 登入憑證。

Malwarebytes 在 2026 年 1 月揭露，有 16 個擴充功能（15 個在 Chrome，1 個在 Edge）偽裝成 ChatGPT 優化工具，實際上會從你的瀏覽器偷走 ChatGPT 的 session token（來源）。

拿到 session token 的攻擊者，等於拿到你的 ChatGPT 帳號本身——可以看你全部的對話歷史、metadata、付費狀態。有的也帶著「精選」徽章。

為什麼這件事發生得了

核心問題不在木馬技術，而在Chrome 擴充功能的權限模型。

當你裝一個擴充功能，它會要求「讀取你所有網站的內容」這種權限。你大概是按了「允許」。這個權限讓擴充功能可以：

• 讀你打開的每一個分頁的完整 URL（包含公司內部網址）
• 讀頁面上顯示的每一段文字（包含 ChatGPT 回應）
• 讀你輸入的每一個欄位（包含你貼到 ChatGPT 的內容）
• 劫持瀏覽器的網路請求（攔截發送到 OpenAI 的 API 呼叫）

你每次打字、每次 Enter、每個回應在 DOM 上出現，擴充功能都看得到。它不需要駭進 OpenAI，它直接站在你和 OpenAI 之間。

根據隱私研究公司 Incogni 的調查，67% 的 AI 相關 Chrome 擴充功能在主動收集使用者資料。這包含明示的分析資料和未明示的外洩。

你的對話到了攻擊者手上會變成什麼

你可能會想：「我又不是工程師，我跟 ChatGPT 的對話能有多重要？」

OX Security 和 Astrix 的分析報告指出，實際被洩漏的對話內容包括（來源）：

• 工程師：公司專有程式碼、資料庫 schema、架構設計、未修補的漏洞細節
• 產品經理：未公開的產品路線圖、定價策略、競爭分析
• 業務：客戶名單、成交金額、談判紀錄
• 律師：案件細節、當事人資料
• 醫療人員：病例描述、診斷討論
• HR：面試評語、薪資結構、員工個資

加上 Chrome 所有分頁的 URL，攻擊者能拼湊出你的公司內網結構、CI/CD 工具網址、內部系統名稱。這些資料可以拿來賣給勒索軟體團體、用來鎖定後續的釣魚攻擊、或在暗網上交易。

你現在應該做什麼

立即行動：

1. 打開 chrome://extensions/
2. 看過一遍所有已安裝的擴充功能
3. 特別留意：你多久沒用的那些 AI 側邊欄類、VPN/Proxy 類、網站分析類、專注工具類
4. 不熟悉、或者權限是「讀取所有網站內容」的——刪除

短期防護：

• 處理敏感對話時改用無痕模式。Chrome 的無痕模式預設停用擴充功能
• 盡量用原生網頁（chat.openai.com 本身），不要透過 side panel / 側邊欄擴充功能
• 檢查擴充功能的發行商。如果是不知名的小公司、或者網域是剛註冊沒多久的——不要裝

對於企業：

• 企業用 Chrome 應該設定擴充功能白名單。員工不能隨意裝擴充功能
• 考慮遷移到 ChatGPT Enterprise、Claude for Work 等有企業級安全控制的方案
• 在端點監控裡加上擴充功能稽核——定期掃描員工機器上的擴充功能清單和變更

最可怕的部分

OX Security 發現這批攻擊之前，Astrix Security 已經提前幫他們的客戶移除了這些擴充功能——他們的自動掃描在研究公開之前就認定這些擴充功能是高風險。

也就是說：技術上，這類攻擊是可以被自動偵測的。是 Chrome Web Store 本身選擇不做這個檢查。

Secure Annex 的 John Tuckner 在報告結尾寫下了一句話：

這只是 Prompt Poaching 的開始。更多公司會意識到這些資料有利可圖。擴充功能開發者為了變現，會把這種收集能力當成標準功能加進去。你最深層的想法將被收割並販售以換取他們的利益。

在 Google 和瀏覽器商店針對這個行為制定明確政策之前，這件事只會越來越多。

參考資料

• Secure Annex - Prompt Poaching 原始報告
• The Hacker News - 90萬用戶 AITOPIA 偽裝事件
• Malwarebytes - Urban VPN 事件
• Malwarebytes - 16 個 Session Token 竊取擴充功能
• HackRead - 完整技術分析
• SOCRadar - IOC 和技術細節