真正的猎手往往用免费设局，Chrome官方精选插件偷光数百万用户的AI对话记录Urban VPN在Chrome应用商店为高人气的VPN插件：4.7分的高分评价、超600万用户的安装量，甚至斩获谷歌官方“精选（Featured）”认证徽章，显眼的宣传语“保护你的在线身份，隐藏IP”，让无数用户将其视为网络安全的“守护者”。

但光鲜背后，这款打着免费旗号的工具，早已沦为窃取用户隐私的“数据猎手”，所谓免费安全，从来都是最昂贵的陷阱。

从2025年7月9日上线的5.5.0版本开始，Urban VPN彻底撕下伪装，悄悄在代码中硬编码植入AI数据收割功能，毫无征兆地对用户展开隐秘监控。无论你日常使用的是ChatGPT、Claude、Gemini这类海外主流AI工具，还是Microsoft Copilot、DeepSeek、Perplexity等常用助手，只要浏览器安装了这款插件，一段预设的JavaScript脚本就会自动注入AI对话页面，全程无提示、无弹窗，用户毫无察觉。

这段恶意脚本极具侵略性，直接覆盖了浏览器核心的网络请求处理接口——fetch()与XMLHttpRequest()。这意味着，用户与AI的每一次互动数据，都会被提前“截胡”：你输入的每一句提示词、AI生成的每一段回复内容，甚至对话的精准时间戳、设备型号、浏览器版本等元数据，在发送至对应AI厂商服务器之前，都会先被Urban VPN打包加密，同步传输到其专属的analytics.urban-vpn[.]com等远程服务器中，形成完整的用户AI对话数据库，全程不留死角。

更令人不齿的是Urban VPN的“两面派”操作，堪称“贼喊捉贼”的典型案例。该插件专门推出一项名为“AI保护”的功能，大肆宣传其能实时监测用户输入内容，防范个人敏感信息（如手机号、邮箱、身份证号）意外泄露给AI工具，一旦检测到风险就会弹出警告提示，营造出“贴心守护隐私”的假象，实际上数据全部被传走。

这些被窃取的海量AI对话数据，最终流向了一条隐蔽的商业变现链条。Urban VPN的母公司是注册于美国特拉华州的Urban Cyber Security Inc.，而其实际控制方是知名广告情报BIScience，通过提取用户需求偏好、行业洞察、消费倾向等核心信息，加工成商业分析报告，高价出售给广告公司、市场调研机构、科技企业等，形成“窃取-加工-售卖”的完整商业闭环，用户的隐私秘密被明码标价，成为其盈利的工具。
#ai创造营#