Hoe schijnbaar onschuldige privacy-extensies je AI-conversaties vangen en verkopen
In december 2025 deden cybersecurity-onderzoekers een onthutsende ontdekking: populaire browser-extensies met meer dan 8 miljoen installaties hebben maandenlang volledige gesprekken met AI-chatbots zoals ChatGPT, Gemini en Claude onderschept en doorverkocht aan datamarketeers — ondanks dat ze deden alsof ze privacy beschermen.
De illusie van privacy: Extensies die juist je data aftappen
Deze extensies — waaronder de veelgebruikte Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard en Urban Ad Blocker — presenteerden zichzelf als tools om online privacy te verbeteren via VPN-diensten of reclame-blokkering. In werkelijkheid bevatten ze verborgen code die alle AI-chatgesprekken, prompts en antwoordenonderschepte en doorstuurde naar externe servers voor commerciële analyse.
Featured Chrome Browser Extension Caught Intercepting Millions of Users' AI ChatsUrban VPN extensions collect AI prompts, responses, and browsing data from millions through hidden code. |
Onderzoekers van het beveiligingsbedrijf Koi Security ontdekten dat deze scripts zelfs de paden van netwerkverzoeken (zoals fetch() en XMLHttpRequest) overschreven om elke interactie met AI-diensten te lezen — zonder duidelijke toestemming en zonder mogelijkheid voor de gebruiker om dit uit te schakelen.
Extensies met “Featured” badges en miljoenen gebruikers
Wat het schandaal extra prikkelend maakt, is dat veel van deze extensies Featured-badges van de Chrome Web Store hadden — een keurmerk dat gebruikers een veilige en betrouwbare tool suggereert. De extensies waren beschikbaar voor zowel Google Chrome als Microsoft Edge, en sinds juli 2025 werd de data harvest-functie stilzwijgend geactiveerd via automatische updates.
|
Browser extensions with 8 million users collect extended AI conversationsThe extensions, available for Chromium browsers, harvest full AI conversations over months. |
Wat werd precies verzameld?
De data die verborgen werd uitgelezen en doorgestuurd omvat:
- 📌 Alle prompts en vragen die gebruikers aan AI-chatbots stelden
- 📌 Chatbot-antwoorden en outputs
- 📌 Gespreks-ID’s, metadata, tijdstempels
- 📌 Informatie over gebruikte AI-platforms en modellen
Dit betekent dat alles van medische vragen tot financiële gegevens, persoonlijke dilemma’s en bedrijfsgevoelige informatie potentieel is opgeslagen en verhandeld.
Millions of Private ChatGPT Conversations Are Being Harvested and Sold for ProfitOver six million conversations with private AI chatbots were scraped and sold to data brokers for profit, according to new security research. |
Van privacy-tool naar winstmachine
De ontwikkelaar achter de extensies, Urban Cyber Security Inc., erkent in zijn privacybeleid dat het data deelt met een verbonden bedrijf, BiScience — een datamarketing- en advertentieanalyse-bedrijf. Deze analyses worden gebruikt om commerciële inzichten te creëren en te delen met zakelijke partners.
Hoewel de bedrijven beweren dat data “geanonimiseerd” wordt, erkennen ze ook dat het niet gegarandeerd is dat alle persoonlijke of gevoelige informatie volledig onherkenbaar wordt gemaakt.
Geen uit-uitschakel-knop: alleen verwijderen helpt
Uit het onderzoek volgt dat er geen gebruikersinterface-optie is om deze gegevensverzameling uit te zetten. De enige manier om te stoppen met dataverzameling is door de extensies volledig te verwijderen uit je browser.
Wat gebruikers nu kunnen doen
- 🔍 Verwijder de verdachte extensies direct
- 🧹 Controleer regelmatig welke extensies actief zijn
- 🚫 Installeer alleen extensies van vertrouwde ontwikkelaars
- 🔐 Beperk toestemming die extensies vragen in je browserinstellingen
De ontdekking zet een schijnwerper op hoe gemakkelijk privacy-belofte kan worden misleid door verborgen functiesen hoe zelfs tools met miljoenen gebruikers gevaarlijke datapraktijken kunnen maskeren.
