Koi Securityは12月15日(現地時間)、「8 Million Users' AI Conversations Sold for Profit by "Privacy" Extensions|Koi Blog」において、複数のWebブラウザの拡張機能が主要なAIチャットボットとの会話を収集していると報じた。

これら拡張機能のユーザー数は合計で800万人以上。拡張機能の一部は7月9日のアップデートを境にデータ収集を開始したという。

  • 8 Million Users' AI Conversations Sold for Profit by "Privacy" Extensions|Koi Blog

    8 Million Users' AI Conversations Sold for Profit by "Privacy" Extensions|Koi Blog

問題の拡張機能と収集データの概要

問題があると指摘された拡張機能は次の4製品。

  • Urban VPN Proxy
  • Urban Browser Guard
  • Urban Ad Blocker
  • 1ClickVPN Proxy

Urbanシリーズは米デラウェア州に拠点を置くUrban Cybersecurityが開発元とされる。最も人気の高い「Urban VPN Proxy」は、Google ChromeおよびMicrosoft Edgeに無償のVPNアクセスを提供し、合計で730万以上のユーザー数を抱える。

ユーザーが当該製品をインストールし、特定のAIプラットフォームで会話を行うとプロンプト、AIの応答、タイムスタンプ、会話識別子、セッションメタデータなどが収集される。これらデータはマーケティング分析を理由にデータ収集販売企業の「BiScience」に売却され、無償アプリの収益源となる。

データ収集対象となったAIプラットフォームは次のとおり。

  • ChatGPT
  • Claude
  • Gemini
  • Microsoft Copilot
  • Perplexity
  • DeepSeek
  • Grok (xAI)
  • Meta AI

Urban VPN Proxyには機密データの入力を検出して送信を防止するAI保護機能が搭載されている。本件のデータ収集からも保護されることを期待したいところだが、Koi Securityによると保護と収集は平行して行われるため、収集を阻止できないという。

プライバシーポリシーによる収集の開示

Urban Cybersecurityはこれら製品のプライバシーポリシーの中で、データ収集および公開を明言している。アプリストアの説明には「承認されている以外の用途で第三者に販売しない」と記載されており、その承認対象にWebサイトのコンテンツが含まれている。

Koi SecurityはAIデータの扱いを明言していないことを理由に問題を指摘しているが、Webサイトのコンテンツにプロンプトを含むと解釈すれば問題ないことになる。これら製品がストアから削除されていないことからも、合法的な活動と評価されていることがわかる。

しかしながら、Urban Cybersecurityがユーザーのプライベートな情報を収集・販売していることに変わりはない。設定で機能を無効にすることはできないため、データ収集および公開を望まないユーザーは速やかにアンインストールする必要がある。