Google promowało rozszerzenie kradnące rozmowy z ChatGPT

Google promowało w swoim sklepie rozszerzenie Chrome, które podsłuchiwało rozmowy użytkowników z ChatGPT, Gemini i ośmioma innymi chatbotami AI. Przez miesiące nikt nie zauważył, że narzędzie łamie zasady bezpieczeństwa.

Wykryto je przypadkiem.

Jak działało szpiegowskie rozszerzenie

Rozszerzenie wyglądało niewinnie. Obiecywało dodatkowe funkcje dla użytkowników chatbotów – szybsze odpowiedzi, lepsze formatowanie, może jakieś skróty klawiszowe. Typowe narzędzie produktywności.

W tle robiło coś zupełnie innego.

Każdą rozmowę z AI – każde pytanie, każdą odpowiedź – wysyłało na zewnętrzne serwery. ChatGPT, Gemini, Perplexity, Claude. Nie miało znaczenia, którego bota używałeś. Rozszerzenie kopiowało wszystko.

I tu jest haczyk: Google ma jasne zasady. Rozszerzenia nie mogą zbierać danych użytkowników bez zgody. Nie mogą wysyłać prywatnych rozmów na zewnątrz. To podstawa.

To rozszerzenie łamało te zasady od pierwszego dnia.

Dlaczego to tak niebezpieczne

Może myślisz: "No dobra, ale ja z ChatGPT rozmawiam o bzdurach. Kto by to czytał?"

Problem w tym, że ludzie używają chatbotów AI do wszystkiego. Do pracy. Do osobistych spraw. Do rzeczy, które normalnie powierzyliby tylko zaufanej osobie.

Programiści wklejają fragmenty kodu z projektów korporacyjnych. Marketerzy analizują dane klientów. Przedsiębiorcy omawiają strategie biznesowe. Studenci przesyłają całe eseje.

Teraz ktoś ma dostęp do tych rozmów. Wszystkich. Z milionów użytkowników.

To nie jest scenariusz z filmu szpiegowskiego – to właśnie się stało.

Jak Google mogło to przeoczyć

Google ma proces weryfikacji rozszerzeń. Teoretycznie każde narzędzie przechodzi kontrolę przed publikacją w Chrome Web Store. Sprawdzają kod, szukają podejrzanych elementów, testują bezpieczeństwo.

I mimo to to rozszerzenie przeszło.

Co więcej – nie tylko przeszło. Google aktywnie je promowało. Pojawiało się w rekomendacjach. W wynikach wyszukiwania. Ludzie instalowali je, myśląc: "Skoro Google poleca, to bezpieczne".

Ironia? Google samo tworzy Gemini – jednego z chatbotów, które to rozszerzenie szpiegowało.

Nie wiadomo, jak długo narzędzie działało. Źródła mówią o miesiącach. Może dłużej.

Co zrobić, jeśli je zainstalowałeś

Najpierw: usuń je natychmiast. Jeśli masz jakiekolwiek rozszerzenie związane z chatbotami AI, sprawdź jego nazwę i twórcę. Wyszukaj opinie. Jeśli coś budzi wątpliwości – kasuj.

Drugie: zmień hasła. Zwłaszcza jeśli rozmawiałeś z AI o kontach, logowaniach, dostępach do systemów. Może. Ale lepiej dmuchać na zimne.

Trzecie: przejrzyj historię rozmów z chatbotami. Co tam wklejałeś? Kod z pracy? Dane klientów? Osobiste informacje? Jeśli coś wrażliwego – poinformuj odpowiednie osoby. Szefa, klientów, dział IT.

I najważniejsze: przestań ufać na ślepo.

Czego to nas uczy

Ta historia pokazuje coś niepokojącego. Używamy AI codziennie. ChatGPT do pracy. Gemini do researchu. Perplexity do szybkich odpowiedzi. Traktujemy te narzędzia jak zaufanych asystentów.

Ale zapominamy o podstawach bezpieczeństwa.

Instalujemy rozszerzenia, bo obiecują wygodę. Nie czytamy uprawnień. Nie sprawdzamy, kto je stworzył. Myślimy: "Ma dobre oceny, pewnie jest OK".

A potem okazuje się, że przez miesiące ktoś czytał każdą naszą rozmowę z AI.

Google już usunęło to konkretne rozszerzenie. Ale ile podobnych wciąż działa? Ile narzędzi "produktywności" w rzeczywistości kradnie dane?

Nie wiemy.

Dlatego zasada jest prosta: jeśli rozszerzenie chce dostęp do twoich rozmów z AI – pytaj dlaczego. I jeśli odpowiedź nie brzmi przekonująco, nie instaluj go. Nawet jeśli Google je poleca.

Bo jak widać, rekomendacja giganta technologicznego nic nie gwarantuje.

Źródła

• 01net