谷歌商店300万用户中招：你的AI对话正被浏览器插件"截胡"

浏览器扩展的装机量每增长10%，企业数据泄露事件就增加23%。这不是巧合，是 convenience tax（便利税）正在兑现。

Expel安全团队最近披露的攻击手法，把这套征税机制玩到了极致。他们给这种新型威胁起了个名字：prompt poaching（提示词劫持）。恶意扩展像餐厅服务员记菜单一样，把你和AI的每一句对话默写、打包、发走——而你连小票都看不到。

扩展怎么变成"监听器"

AI助手原本被关在独立标签页里，像银行金库的单人操作间。扩展的出现打破了这面墙，让AI能"看到"你的邮件、文档、后台系统。代价是：扩展也能看到AI。

攻击者利用的就是这个双向通道。恶意扩展安装后，通过两种技术路线实施劫持：

API拦截：在浏览器和AI服务的数据传输路径上设卡，直接复制原始通信内容；DOM抓取：像爬虫一样读取页面上的对话文本，即使加密传输也能本地截获。

数据打包后通过隐蔽通道外发。整个过程用户无感知，浏览器权限管理界面也不会显示异常。

Expel研究员追踪到的攻击样本显示，部分扩展的日均数据传输量可达2-4MB——相当于连续记录数百条完整对话。

两条"养猪"路线

攻击者的分发策略呈现明显的养号特征，核心逻辑是：先积累信任，再变现数据。

路线一：克隆热门工具

瞄准已验证的市场需求，快速复制功能界面，注入恶意代码后上架。Expel点名了三款已确认的克隆扩展：

「Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI」（扩展ID：fnmihdojmnkclgjpcoonokmkhjpjechg）

「AI Sidebar with Deepseek, ChatGPT, Claude, and more」（ID：inhcgfpbfdjbjogdfjbclgolkmhnooop）

「Talk to ChatGPT」（ID：hoinfgbmegalflaolhknkdaajeafpilo）

命名策略很直白：把主流AI品牌名堆砌进标题，利用搜索关键词截流。用户本想找"ChatGPT侧边栏"，下载的却是数据收割机。

路线二：劫持正规军

更隐蔽的操作是渗透已有用户基础的扩展。Urban VPN Proxy（ID：eppiocemhmnlbhjplcgkofciiegomcon）是典型案例。

该扩展早期作为正规VPN工具运营，积累了可观装机量。Expel发现，开发者在某次常规更新中静默植入prompt poaching模块，所有存量用户瞬间变为数据源头。这种"后门激活"模式，让安全审计的时效性彻底失效——你今天检查没问题，明天更新就变脸。

被偷走的对话值多少钱

企业员工向AI输入的内容，远比聊天记录敏感。Expel分析的泄露样本包括：未发布的财报数据、客户合同条款、核心算法代码、高管战略邮件草稿。

这些信息在黑市有明确定价体系。单条企业邮箱凭证均价15美元，而包含业务上下文的完整对话记录，打包售价可达凭证的20-40倍。攻击者还能基于对话内容构造精准钓鱼邮件——知道你正在处理哪个项目、对接哪位客户、卡在哪道审批环节。

更长期的威胁在于模型训练数据污染。被窃取的对话若被用于微调开源模型，企业专有知识将变相公开。

谷歌2024年扩展安全报告显示，Chrome Web Store去年下架的恶意扩展中，31%具备某种形式的数据窃取能力，较2022年上升17个百分点。prompt poaching作为细分品类，正在快速挤占传统键盘记录器、表单劫持工具的市场份额。

防御端目前缺乏针对性方案。企业安全团队可以监控异常出站流量，但扩展的HTTPS加密传输让特征识别困难。终端用户能做的，大概只剩定期清理扩展列表——而多数人装机后再没打开过chrome://extensions/。

你上次检查浏览器扩展权限，是什么时候？