90 万人的 AI 对话被偷了：Google 推荐的 Chrome 扩展，到底藏了什么

你昨天和 ChatGPT 聊了什么？

产品方案？一段有 bug 的代码？甲方给的需求文档？还是帮老板润色了一封裁员通知？

这些内容，可能已经不只有你和 OpenAI 知道了。

3 月 5 号，微软安全团队发了一篇博客，曝光了两个 Chrome 扩展。它们伪装成 AI 助手，实际在偷你和 ChatGPT、DeepSeek 的每一句对话。

装机量加起来 90 万。其中一个还拿过 Google 的"Featured"推荐标。

这两个扩展长什么样

名字都很正经：

• “Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI”，大约 60 万安装
• “AI Sidebar with Deepseek, ChatGPT, Claude and more”，大约 30 万安装

看名字你会觉得是个方便侧边栏调 AI 的工具。扩展商店里的描述、界面、权限请求，都模仿了正规的 AI 助手产品（比如 AITOPIA）。微软还观察到有些"智能浏览器"会自动下载这类扩展，用户甚至没点同意。

问题是，装完之后它就开始安静地干活了——不是帮你调 AI，是帮攻击者收集数据。

它偷了什么

根据微软的分析，这两个扩展的后台脚本会持续记录：

• 你访问的所有网址（包括公司内网）
• 你和 ChatGPT、DeepSeek 的完整对话片段
• 你用的模型名称
• 一个绑定你身份的持久 UUID

这些数据用 Base64 编码后，定期通过 HTTPS POST 发送到攻击者的服务器（域名包括 deepaichats.com 和 chatsaigpt.com）。发完就清本地缓存，不留痕迹。

更恶心的是：就算你第一次装的时候拒绝了数据收集，扩展更新后会自动重新打开遥测功能。你以为关了，其实没关。

为什么 AI 对话泄露比浏览历史严重得多

有人可能觉得，浏览器扩展偷数据又不是第一次了，有什么大不了。

区别在于信息密度。

你在谷歌搜"Python 排序算法"，泄露的就是一个搜索词。但你和 ChatGPT 聊"帮我优化这段支付回调的代码，处理金额用的是分转元"，泄露的是你的业务逻辑、技术栈、甚至金融数据的处理方式。

微软的遥测数据显示，这两个扩展影响了超过 2 万个企业租户。在这些环境里，员工每天用 AI 讨论的内容包括：

• 产品路线图和竞争分析
• 内部代码和架构设计
• 客户数据处理流程
• 人事和财务决策

一个 Chrome 扩展，就这样变成了企业内部的长期数据采集器。不需要入侵服务器，不需要钓鱼邮件，就靠你自己点了"添加到 Chrome"。

你现在该做的 3 件事

第一，立刻检查你的扩展列表。

打开 chrome://extensions/（或 Edge 的 edge://extensions/），搜索上面提到的两个扩展名。如果装了，马上删除。顺便把所有你不确定来源的 AI 相关扩展过一遍。

第二，用官方渠道访问 AI 工具。

ChatGPT 有 chat.openai.com，Claude 有 claude.ai，DeepSeek 有自己的官网。不需要第三方扩展当中间人。如果你非要用侧边栏工具，认准官方出品。

第三，企业用户：审计你的扩展策略。

微软在博客里给了具体的 Defender XDR 查询语句，可以检测组织内是否有这两个恶意扩展。更重要的是，重新评估你们的扩展安装策略——是不是任何人都能从 Chrome Web Store 装任何东西？

写在最后

浏览器扩展的信任模型建立在"商店审核"和"用户评分"上。但当攻击者能拿到 Google “Featured” 徽章，当扩展可以在更新时静默重开数据收集，这个模型就出了问题。

在 AI 时代，我们和浏览器分享的内容密度比以前高了一个数量级。扩展能访问的不再只是你逛了哪些网站，而是你在想什么、在做什么决策。

能不装扩展就不装，必须装就只装官方的。

参考来源：

• Microsoft Security Blog: Malicious AI Assistant Extensions Harvest LLM Chat Histories (2026-03-05)
• Diamatix: Malicious Chrome Extensions Steal ChatGPT and DeepSeek Conversations from 900K Users
• Ox Security: Malicious Chrome Extensions Steal ChatGPT and DeepSeek Conversations