Le nostre conversazioni private con i chatbot AI potrebbero non essere al sicuro. Anzi, potrebbero addirittura essere raccolte e vendute a scopo di lucro da soggetti poco raccomandabili. Questa la rivelazione della società di sicurezza Koi, con sede a Tel Aviv, che di recente ha fatto luce su una massiccia operazione di raccolta dati legata a un’estensione gratuita del browser Google Chrome, chiamata Urban VPN Proxy. Oggi rimossa, questa estensione offriva una VPN gratuita agli utenti del browser. In un’indagine pubblicata da Koi, il ricercatore di sicurezza Ian Dardikman afferma che l’estensione va ben oltre le azioni di una tipica VPN, poiché contiene al suo interno script “esecutivi” progettati per intercettare e registrare le conversazioni degli utenti con alcuni dei principali chatbot AI presenti sul mercato, come ChatGpt, Claude, Gemini, DeepSeek e Grok. Questo significa che, senza che gli utenti se ne rendano conto, Urban VPN Proxy raccoglie indistintamente tutte le informazioni che questi forniscono ai chatbot AI, incluse “domande relative alla salute, dettagli finanziari, codici riservati, dilemmi personali”. Dati privati e sensibili, poi venduti al miglior offerente “per ‘scopi di analisi di marketing’”.
Come funziona Urban VPN Proxy
Come emerso dall’indagine, l’estensione Urban VPN Proxy estrapola e raccoglie in background informazioni dalle conversazioni tra gli utenti e i chatbot, indipendentemente dal fatto che questa sia attiva o meno. “Per ogni piattaforma, l’estensione include uno script ‘executor’ dedicato progettato per intercettare e catturare le conversazioni. La raccolta è abilitata per impostazione predefinita tramite flag codificati nella configurazione dell’estensione”, il che rende impossibile per gli utenti disabilitare la funzione. L’unico modo per interrompere la raccolta dei dati, quindi, è disinstallare definitivamente l’estensione. Il vero problema, però, è questo: gli utenti finora non erano a conoscenza del “lavoro sporco” dell’estensione che, indisturbata, ha raccolto milioni di informazioni sensibili, vendute al miglior offerente.
Eppure, una postilla nella privacy policy della società proprietaria di Urban VPN Proxy – Urban Cyber Security Inc – chiarisce la condivisione dei “dati di navigazione web con la […] società affiliata” BiScience, un data broker “che utilizza questi dati grezzi e crea approfondimenti che vengono utilizzati commercialmente e condivisi con i partner commerciali”. E qualche riga sparsa e quale all’interno dell’informativa chiarisce anche che la società divulga “le richieste all’intelligenza artificiale per scopi di analisi di marketing”. Di contro, però, il ricercatore di Koi fa notare che la pagina dedicata all’estensione sul Chrome Web Store chiarisce che “questo sviluppatore dichiara che i tuoi dati non vengono venduti a terzi, al di fuori dei casi d’uso approvati”. Insomma, c’è grande confusione sulla comunicazione della società in relazione all’attività di Urban VPN Proxy, il che rende difficile per gli utenti capire se farne uso significa o meno mettere a rischio la propria privacy.
