Pesquisadores em cibersegurança identificaram duas extensões maliciosas na Chrome Web Store que têm como alvo o roubo de conversas no OpenAI ChatGPT e no DeepSeek, além de informações de navegação, enviando esses dados a servidores controlados por criminosos.
As extensões, que juntas somam mais de 900 mil usuários, são:
- Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI (ID: fnmihdojmnkclgjpcoonokmkhjpjechg, 600 mil usuários)
- AI Sidebar with Deepseek, ChatGPT, Claude, and more (ID: inhcgfpbfdjbjogdfjbclgolkmhnooop, 300 mil usuários)
A descoberta ocorre semanas após outra extensão, Urban VPN Proxy — com milhões de instalações no Google Chrome e Microsoft Edge — ser flagrada espionando conversas com chatbots de inteligência artificial.
Essa técnica de capturar diálogos por meio de extensões foi batizada de Prompt Poaching pela empresa Secure Annex.
Segundo Moshe Siman Tov Bustan, pesquisador da OX Security, as duas novas extensões “exfiltram as conversas dos usuários e todas as URLs abertas no Chrome a cada 30 minutos para um servidor remoto de comando e controle (C2).”
O malware obtém consentimento para coletar “dados anônimos de analytics”, mas, na prática, rouba o conteúdo completo das sessões no ChatGPT e no DeepSeek.
As extensões maliciosas imitam uma extensão legítima chamada “Chat with all AI models (Gemini, Claude, DeepSeek...) & AI Agents”, da AITOPIA, que conta com cerca de 1 milhão de usuários.
Até o momento da publicação, elas ainda estavam disponíveis para download na Chrome Web Store, embora o “Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI” tenha perdido o selo de “Featured” (destaque).
Após a instalação, as extensões solicitam permissão para coletar dados de comportamento de navegação, sob a justificativa de melhorar a experiência da barra lateral.
Se autorizado, o malware começa a extrair informações das abas abertas e das conversas com chatbots, capturando mensagens diretamente dos elementos DOM da página.
Os dados são armazenados localmente antes de serem enviados a servidores remotos, como “chatsaigpt[.]com” e “deepaichats[.]com”.
Além disso, os criminosos utilizam a plataforma Lovable, que oferece ferramentas de desenvolvimento web com inteligência artificial, para hospedar suas políticas de privacidade e partes da infraestrutura em domínios como “chataigpt[.]pro” e “chatgptsidebar[.]pro”, dificultando a detecção.
As consequências da instalação desses complementos podem ser graves, já que eles exfiltram informações sensíveis, como dados compartilhados com chatbots e histórico completo de navegação, incluindo consultas e URLs internas de empresas.
Segundo a OX Security, “essas informações podem ser usadas para espionagem corporativa, roubo de identidade, campanhas de phishing direcionadas ou comercializadas em fóruns clandestinos.”
Organizações cujos colaboradores tenham instalado essas extensões podem ter exposto inadvertidamente propriedade intelectual, dados de clientes e informações comerciais confidenciais.
Extensões legítimas também envolvidas em Prompt Poaching
A Secure Annex também revelou que extensões legítimas, como Similarweb e Stayfocusd (da Sensor Tower), com cerca de 1 milhão e 600 mil usuários, respectivamente, estão adotando a prática de prompt poaching.
A Similarweb passou a monitorar as conversas em maio de 2025, e uma atualização em 1º de janeiro de 2026 incluiu um pop-up detalhando que os dados inseridos em ferramentas de IA são coletados para “análise aprofundada de métricas de tráfego e engajamento.”
A atualização da política de privacidade, em 30 de dezembro de 2025, reafirma que isso inclui prompts, queries, conteúdos, arquivos anexados e os resultados gerados pelas ferramentas de IA.
A análise técnica mostrou que a Similarweb utiliza técnicas como DOM scraping e interceptação de APIs nativas do navegador — como fetch() e XMLHttpRequest() — para capturar os dados das conversas.
Essa prática é similar à observada na extensão Urban VPN Proxy.
A coleta é feita por meio do carregamento de um arquivo de configuração remoto com lógica personalizada para interpretar os formatos do ChatGPT, Anthropic Claude, Google Gemini e Perplexity.
John Tuckner, da Secure Annex, afirmou ao The Hacker News que esse comportamento ocorre nas versões para Chrome e Edge da extensão Similarweb, enquanto a versão para Firefox não recebe atualizações desde 2019.
“Está claro que o prompt poaching chegou para capturar suas conversas mais sensíveis, e as extensões são o vetor ideal para essa exploração”, afirmou.
“Não está claro se isso viola as políticas do Google, que exigem que as extensões tenham propósito único e proíbem o carregamento dinâmico de código.”
Ele complementa que esse é apenas o início de uma tendência crescente: “Mais empresas perceberão o valor comercial desses dados.
Desenvolvedores de extensões buscando monetização vão incorporar bibliotecas sofisticadas fornecidas por companhias de marketing em seus apps.”
Quem instalou essas extensões e se preocupa com a privacidade deve removê-las imediatamente e evitar instalar complementos de fontes desconhecidas, mesmo que estejam marcados como “Featured.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...