Расширения для ChatGPT крадут историю чатов: отчет Microsoft

Масштабная кампания затронула 900 тысяч пользователей и 20 тысяч организаций. Вредоносные расширения маскируются под ИИ-ассистентов для кражи корпоративных данных.

Оглавление

Механика эксфильтрации и цепочка атаки
Риски для бизнеса и рекомендации по защите

Бум генеративного интеллекта породил предсказуемый побочный эффект — волну вредоносного ПО, мимикрирующего под удобные инструменты продуктивности. Исследовательская группа Microsoft Defender зафиксировала масштабную кампанию по распространению вредоносных расширений для Chromium-браузеров, которые под видом ИИ-ассистентов крадут историю переписки с ChatGPT и DeepSeek.

Согласно отчету, опубликованному в блоге Microsoft Security, злоумышленники успешно внедрили свои инструменты на устройства более 900 000 пользователей. Особую тревогу вызывает глубина проникновения в корпоративный сектор: активность вредоносов подтверждена в 20 000 корпоративных тенантов, где сотрудники регулярно используют LLM для работы с конфиденциальными данными.

Механика эксфильтрации и цепочка атаки

Архитектура атаки строится на эксплуатации доверия к официальным магазинам приложений. Вредоносные расширения распространялись через Chrome Web Store, используя брендинг и описания, практически идентичные легитимным сервисам вроде AITOPIA. Благодаря совместимости движка, одна публикация позволяла атаковать пользователей и Google Chrome, и Microsoft Edge.

После установки расширение запрашивает широкие привилегии на чтение данных страниц. Это позволяет скриптам в фоновом режиме собирать полные URL-адреса посещаемых сайтов и содержимое чатов с нейросетями. В Microsoft отмечают, что даже если пользователь изначально отключал сбор телеметрии, последующие автоматические обновления расширения принудительно активировали функцию шпионажа без уведомления.

Технический анализ показывает, что украденная информация — включая промпты, ответы моделей и токены сессий — кодируется в Base64 и периодически отправляется на управляющие серверы. Среди выявленных доменов фигурируют deepaichats[.]com и chatsaigpt[.]com, которые маскируются под легитимные API-эндпоинты ИИ-сервисов.

Слепая вера в «умные сайдбары» превращает корпоративный браузер в открытую книгу для злоумышленников. Пока индустрия бьется над безопасностью весов моделей, элементарная кража контекста через расширение за пять минут обнуляет любые инвестиции в закрытые контуры. Ирония в том, что пользователи сами оплачивают утечку своего интеллектуального капитала, устанавливая сомнительный софт ради экономии пары кликов при вызове ChatGPT.

Риски для бизнеса и рекомендации по защите

Для компаний основная угроза заключается в утечке проприетарного кода, стратегий развития и внутренних рабочих процессов, которые сотрудники «скармливают» чат-ботам для суммаризации или рефакторинга. Наличие расширения-шпиона делает этот процесс прозрачным для атакующих в режиме реального времени.

Специалисты по безопасности рекомендуют предпринять следующие шаги для минимизации рисков:

Провести аудит установленных расширений с помощью Microsoft Defender Vulnerability Management и ограничить возможность самостоятельной установки неавторизованного ПО.
Заблокировать сетевой трафик к известным вредоносным доменам, включая *.chataigpt.pro и *.chatgptsidebar.pro.
Использовать инструменты класса Microsoft Purview для контроля передачи чувствительных данных в веб-интерфейсы ИИ-приложений.
Обучить персонал критическому подходу к выбору инструментов: «бесплатные» ИИ-помощники без внятной бизнес-модели чаще всего монетизируют данные пользователя.

Данный инцидент подчеркивает, что периметр безопасности сегодня проходит не по сетевому экрану, а по строке расширений в браузере сотрудника. Отсутствие строгих политик управления браузерной средой становится критической уязвимостью в эпоху повсеместного внедрения генеративных инструментов.