บทสนทนา AI ของผู้ใช้ 8 ล้านคนถูกขายเพื่อแสวงหากำไรโดยส่วนขยาย ‘ความเป็นส่วนตัว’

 (koi.ai)
2 คะแนน โดย GN⁺ 2025-12-17 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • พบว่าส่วนขยายเบราว์เซอร์ 8 รายการ รวมถึง Urban VPN Proxy มีการ เก็บรวบรวมและขายเนื้อหาบทสนทนาจากแพลตฟอร์ม AI
  • ส่วนขยายเหล่านี้ เก็บข้อมูลบทสนทนาโดยอัตโนมัติจากบริการ AI 10 แห่ง เช่น ChatGPT, Claude, Gemini และ Copilot โดยผู้ใช้ไม่มีตัวเลือกในการปิดฟังก์ชันนี้
  • การเก็บข้อมูลทำงาน ต่อเนื่องอยู่เบื้องหลังโดยไม่เกี่ยวกับการใช้งาน VPN และมีการส่งพรอมป์ต์ คำตอบ ไทม์สแตมป์ และข้อมูลเซสชันทั้งหมด
  • บริษัทผู้ให้บริการ Urban Cyber Security Inc. และบริษัทในเครือ BiScience ได้นำข้อมูลดังกล่าว ไปขายต่อให้บุคคลที่สามเพื่อใช้ในการวิเคราะห์ทางการตลาด
  • ส่วนขยายที่ผ่านการรับรองตรา ‘Featured’ ของ Google และ Microsoft ถูกเผยแพร่อยู่หลายเดือน สะท้อนช่องโหว่ของระบบคุ้มครองผู้ใช้

กระบวนการค้นพบ

  • เมื่อ Wings AI Risk Engine ของ Koi สำรวจส่วนขยายเบราว์เซอร์ที่อาจส่งข้อมูลบทสนทนา AI ออกไปภายนอก ก็พบว่า Urban VPN Proxy ซึ่งมีฐานผู้ใช้ขนาดใหญ่ อยู่ในอันดับต้นอย่างเหนือความคาดหมาย
  • Urban VPN Proxy เป็นส่วนขยาย VPN ฟรีที่มี ผู้ใช้มากกว่า 6 ล้านคน, คะแนน 4.7, และมี ตรา Google ‘Featured’ โดยอ้างว่าเน้นการคุ้มครองความเป็นส่วนตัว
  • จากการตรวจสอบพบว่าส่วนขยายนี้ถูกแจกจ่ายมาในสภาพที่ เปิดใช้ฟังก์ชันดักฟังบทสนทนาบนแพลตฟอร์ม AI เป็นค่าเริ่มต้น

วิธีการเก็บข้อมูล

  • ส่วนขยายนี้เก็บข้อมูลอย่างต่อเนื่อง ไม่ว่าผู้ใช้จะเชื่อมต่อ VPN หรือไม่ก็ตาม
  • เมื่อผู้ใช้เข้าเว็บไซต์ AI เช่น ChatGPT, Claude หรือ Gemini จะมีการฝัง สคริปต์เฉพาะทาง (chatgpt.js, claude.js เป็นต้น)
  • สคริปต์เหล่านี้ทำการ override fetch() และ XMLHttpRequest เพื่อดักทุกคำขอและคำตอบบนเครือข่าย พร้อมดึง พรอมป์ต์ คำตอบ ID บทสนทนา และไทม์สแตมป์
  • ข้อมูลที่ดึงออกมาจะถูกส่งไปยัง content script ผ่าน window.postMessage จากนั้น background worker จะส่งต่อไปยังเซิร์ฟเวอร์ของ Urban VPN (เช่น analytics.urban-vpn.com)
  • รายการข้อมูลที่เก็บรวมถึง อินพุตและเอาต์พุตทั้งหมด เมทาดาทาของเซสชัน และข้อมูลโมเดลที่ใช้งาน

ไทม์ไลน์ของเวอร์ชัน

  • เวอร์ชันก่อน 5.5.0 ยังไม่มีฟังก์ชันเก็บข้อมูล AI
  • ตั้งแต่ เวอร์ชัน 5.5.0 ที่เผยแพร่เมื่อ 9 กรกฎาคม 2025 มีการเปิดใช้การเก็บบทสนทนา AI เป็นค่าเริ่มต้น
  • หลังจากนั้น ผู้ใช้เดิมก็ได้รับ โค้ดเก็บข้อมูลเพิ่มเข้ามาผ่านการอัปเดตอัตโนมัติโดยไม่มีการขอความยินยอมเพิ่มเติม
  • ผู้ใช้ที่ติดตั้ง Urban VPN และใช้บริการ AI หลังเดือนกรกฎาคม 2025 จึง อาจถูกนับว่ามีบทสนทนาถูกเก็บไว้บนเซิร์ฟเวอร์และแชร์กับบุคคลที่สาม

ความจริงของฟังก์ชัน ‘AI Protection’

  • ในคำอธิบายของส่วนขยายมีการระบุว่า “ฟังก์ชันปกป้อง AI” ช่วยป้องกันการรั่วไหลของข้อมูลส่วนบุคคลและเตือนลิงก์เสี่ยง
  • แต่จากการวิเคราะห์โค้ดจริงพบว่า ฟังก์ชันเตือนและฟังก์ชันเก็บข้อมูลทำงานแยกจากกัน และแม้ปิดการเตือน การเก็บข้อมูลก็ยังดำเนินต่อไป
  • ส่วนขยายนี้เตือนผู้ใช้เมื่อมีการแชร์อีเมลหรือหมายเลขโทรศัพท์ แต่ในเวลาเดียวกันก็ ส่งข้อมูลเหล่านั้นไปยังเซิร์ฟเวอร์ของ Urban VPN
  • กล่าวได้ว่าเป็น โครงสร้างดึงข้อมูลที่ปลอมตัวมาในชื่อการปกป้อง

การแพร่กระจายของโค้ดเดียวกัน

  • พบโค้ดเก็บข้อมูล AI แบบเดียวกันใน ส่วนขยายอีก 7 รายการ
    • Chrome: Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard, Urban Ad Blocker
    • Edge: 4 รายการเดียวกัน
  • มีผู้ใช้ที่ได้รับผลกระทบรวม มากกว่า 8 ล้านคน
  • แม้ส่วนขยายเหล่านี้จะปลอมตัวอยู่ใน หมวดหมู่ที่ต่างกัน เช่น VPN ตัวบล็อกโฆษณา และเครื่องมือช่วยด้านความปลอดภัย แต่กลับใช้ แบ็กเอนด์สอดส่องร่วมกัน
  • ส่วนใหญ่ยังมี ตรา ‘Featured’ จาก Google และ Microsoft ทำให้ถูกเผยแพร่ในสภาพที่ได้รับความเชื่อถือจากผู้ใช้

บริษัทผู้ให้บริการและการไหลของข้อมูล

  • Urban VPN ดำเนินการโดย Urban Cyber Security Inc. ซึ่งมีความร่วมมือกับ BiScience (B.I Science Ltd.) ซึ่งเป็น data broker
  • ก่อนหน้านี้ BiScience ก็เคยเป็นที่สนใจของนักวิจัยด้านความปลอดภัยจากกรณี เก็บและขายต่อข้อมูล clickstream
  • BiScience นำข้อมูลที่เก็บมาใช้เชิงพาณิชย์ผ่านผลิตภัณฑ์อย่าง AdClarity และ Clickstream OS
  • กรณีนี้จึงเป็น การขยายจากการเก็บประวัติการท่องเว็บไปสู่การเก็บบทสนทนา AI
  • ในนโยบายความเป็นส่วนตัวมีการระบุว่า “ข้อมูลการท่องเว็บที่เก็บรวบรวมจะถูกแชร์กับ BiScience เพื่อนำไปใช้เป็นข้อมูลเชิงพาณิชย์”

ปัญหาการแจ้งผู้ใช้

  • ใน ป๊อปอัปขอความยินยอม ที่แสดงระหว่างติดตั้ง มีการพูดถึง “การประมวลผลการสื่อสาร ChatAI” แต่ ไม่ได้อธิบายวัตถุประสงค์ของการเก็บบทสนทนา AI อย่างชัดเจน
  • ใน นโยบายความเป็นส่วนตัว มีข้อความว่า “เปิดเผยข้อมูลอินพุตและเอาต์พุตของ AI เพื่อวัตถุประสงค์ด้านการวิเคราะห์การตลาด”
  • แต่ในทางกลับกัน คำอธิบายบน Chrome Web Store กลับระบุว่า “ข้อมูลจะไม่ถูกขายให้บุคคลที่สาม” ซึ่งเป็น ข้อมูลที่ขัดแย้งกัน
  • ผู้ที่ติดตั้งก่อนเดือนกรกฎาคม 2025 ไม่ได้เห็นป๊อปอัปขอความยินยอมใหม่ แต่ได้รับฟังก์ชันเก็บข้อมูลเพิ่มผ่านการอัปเดตอัตโนมัติ
  • ผู้ใช้ ไม่มีสิทธิเลือกปิดเฉพาะการเก็บข้อมูล AI และถึงจะปิด VPN หรือปิดฟังก์ชันปกป้อง การเก็บข้อมูลก็ ยังดำเนินต่อไป

ปัญหาการตรวจสอบของ Google

  • Urban VPN Proxy มี ตรา ‘Featured’ จาก Google Chrome Web Store
  • Google อธิบายว่าตราดังกล่าวจะมอบให้กับส่วนขยายที่ “ผ่านแนวปฏิบัติทางเทคนิคที่ดีและมีมาตรฐานประสบการณ์ผู้ใช้ในระดับสูง”
  • นั่นหมายความว่า โค้ดสำหรับเก็บบทสนทนา AI ถูกรวมอยู่ในส่วนขยายที่ผ่านการตรวจสอบแบบ manual ของ Google แล้ว
  • นโยบาย Chrome Web Store ห้ามส่งข้อมูลผู้ใช้ไปยัง data broker หรือแพลตฟอร์มโฆษณา แต่ BiScience ก็ระบุตัวเองว่าเป็น data broker
  • ถึงกระนั้น ส่วนขยายเหล่านี้ก็ยังคงถูกเผยแพร่อยู่ในสโตร์

บทสรุปและคำแนะนำ

  • ส่วนขยายเบราว์เซอร์มี สิทธิ์เข้าถึงที่กว้างขวางและฟังก์ชันอัปเดตอัตโนมัติ จึงจำเป็นต้องได้รับความไว้วางใจในระดับสูง
  • กรณีนี้คือ เหตุการณ์ที่ข้อมูลบทสนทนา AI อันอ่อนไหวของผู้ใช้ระดับ 8 ล้านคนถูกเก็บและขายภายใต้ชื่อของ ‘ความปลอดภัย’
  • ระบบตรวจสอบของ Google และ Microsoft ถูกชี้ว่าเป็น ตัวอย่างที่สร้างภาพลวงตาเรื่องความน่าเชื่อถือ มากกว่าจะคุ้มครองผู้ใช้จริง
  • ผู้ใช้ควร ลบ Urban VPN และส่วนขยายที่เกี่ยวข้องทันที และควรพิจารณาว่าบทสนทนา AI หลังเดือนกรกฎาคม 2025 อาจถูกแชร์ไปยังบุคคลที่สามแล้ว

IOC(Indicator of Compromise)

  • Chrome: Urban VPN Proxy (eppiocemhmnlbhjplcgkofciiegomcon), Urban Browser Guard (almalgbpmcfpdaopimbdchdliminoign), Urban Ad Blocker (feflcgofneboehfdeebcfglbodaceghj), 1ClickVPN Proxy (pphgdbgldlmicfdkhondlafkiomnelnk)
  • Edge: Urban VPN Proxy (nimlmejbmnecnaghgmbahmbaddhjbecg), Urban Browser Guard (jckkfbfmofganecnnpfndfjifnimpcel), Urban Ad Blocker (gcogpdjkkamgkakkjgeefgpcheonclca), 1ClickVPN Proxy (deopfbighgnpgfmhjeccdifdmhcjckoe)

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-12-17
ความเห็นจาก Hacker News

  • ฉันเลือกใช้เฉพาะ ส่วนขยายที่ Mozilla แนะนำ เท่านั้น
    โปรแกรมนี้รวมเฉพาะส่วนขยายที่ผู้เชี่ยวชาญด้านความปลอดภัยของ Mozilla ตรวจโค้ดด้วยตัวเองแล้ว
    Google ไม่อยากจ้างคน แต่พื้นที่แบบนี้เป็นจุดที่ สายตามนุษย์ ไม่ใช่การสแกนอัตโนมัติ จำเป็นจริง ๆ
    Mozilla Recommended Extensions Program

    • ผู้เชี่ยวชาญด้านไอทีหรือพาวเวอร์ยูสเซอร์อาจทำแบบนี้ได้ แต่ผู้ใช้ทั่วไปโดนคำอธิบายฟีเจอร์หรู ๆ หลอกให้ติดตั้งส่วนขยายอันตรายได้ง่าย
      การโจมตีแบบ social engineering ไม่สามารถป้องกันได้ด้วยวิธีทางเทคนิคอย่างเดียว สุดท้ายก็มีความเสี่ยงว่าไม่ผู้ใช้ทั่วไปจะตระหนักเรื่องความปลอดภัยมากขึ้น หรืออุปกรณ์คอมพิวติ้งจะค่อย ๆ กลายเป็นระบบปิดมากขึ้น
    • ถ้าจะเอาให้ละเอียดกว่านั้น ก็สามารถ แตกไฟล์ XPI มาตรวจโค้ดเอง ได้
      ถ้าเป็นส่วนขยายฟังก์ชันง่าย ๆ แต่โค้ดซับซ้อนเกินไป ก็ควรสงสัยไว้ก่อน
      พอถึงวันที่ส่วนขยายกลายเป็น บล็อบแบบปิดซอร์ส ก็ถึงเวลาหนี
    • แต่ก็สงสัยว่า Mozilla ตรวจทุกอัปเดตทุกครั้งหรือเปล่า
      ถ้าตรวจแค่ครั้งเดียว แล้วต่อมาเพิ่มฟังก์ชันอันตรายในอัปเดตแต่ยังคงป้าย ‘แนะนำ’ เอาไว้ได้ ก็อันตรายมาก
    • โค้ดเบสส่วนใหญ่มีเป็นหลักล้านบรรทัด ทำให้ การตรวจด้วยมือแทบเป็นไปไม่ได้จริง
      ถ้าคอมไพล์มาจากภาษาอย่าง TypeScript ต่อให้ได้ซอร์สต้นฉบับมา กระบวนการบิลด์ก็ซับซ้อนจนตรวจสอบได้ยาก
      มัลแวร์ไม่มีทางอยู่ใน main.ts และมีโอกาสสูงที่จะซ่อนอยู่ลึกลงไปในสายโซ่ไลบรารี
    • น่าสนใจตรงที่ตามบทความบอกว่า ส่วนขยายนี้จริง ๆ แล้ว ผ่านการตรวจด้วยมือและได้ป้าย “Featured”

  • บริษัทที่อยู่เบื้องหลังส่วนขยายนี้คือ Urban Cyber Security Inc. ซึ่งดูเหมือนจะเป็นนิติบุคคลจริงที่จดทะเบียนในเดลาแวร์
    มีการเปิดเผยทั้งที่อยู่และเบอร์โทรศัพท์
    ข้อมูลบริษัท, เว็บไซต์ทางการ, ข้อมูลการจดทะเบียนธุรกิจ
    ภายนอกดูถูกต้องตามกฎหมายมาก จึงเป็นไปได้เหมือนกันว่าพวกเขาอาจเป็นเหยื่อด้วย

    • แต่การตัดสิน ความชอบด้วยกฎหมายจากภาพลักษณ์ภายนอก แบบนี้อันตราย
      ใช้เงินไม่กี่ร้อยดอลลาร์ก็จัดตั้งบริษัทลักษณะนี้ได้ และมีแค่ที่อยู่สำนักงานเสมือนกับเว็บไซต์ง่าย ๆ ก็ดูน่าเชื่อถือพอแล้ว
      ข้อมูลที่เห็นบนอินเทอร์เน็ตควรถูกตั้งข้อสงสัยเสมอ
    • ถ้าดู Manhattan Virtual Office จะเห็นว่าที่อยู่นิวยอร์กเป็นสำนักงานเสมือน
      และที่อยู่ในเดลาแวร์ของ The Mill Space ก็เป็นโคเวิร์กกิงสเปซ
    • ในความเป็นจริง Urban VPN มีความเชื่อมโยงกับบริษัทนายหน้าข้อมูลชื่อ BiScience
      บริษัทนี้เคยถูกนักวิจัยจับตาเรื่อง การเก็บข้อมูล clickstream ของผู้ใช้ มาก่อน
      พบฟังก์ชันเก็บข้อมูลแบบเดียวกันในหลายส่วนขยาย และการที่บริการเป็นของฟรีก็ยิ่งน่าสงสัยมาก
      ทำให้นึกถึงคำพูดที่ว่า “ครั้งหนึ่งคืออุบัติเหตุ สองครั้งคือเรื่องบังเอิญ สามครั้งคือการกระทำโดยเจตนา”
    • การจดทะเบียนที่อยู่ในสหรัฐและมีเบอร์โทรศัพท์ใช้เงินแค่ 15 ดอลลาร์ต่อเดือน และการตั้งบริษัทก็ใช้เงินแค่ไม่กี่ร้อยดอลลาร์
    • ที่อยู่ของตัวแทนรับจดทะเบียนดูคล้ายที่อยู่ของสำนักงานกฎหมายจริง แต่ไม่ตรงกันทั้งหมด
      ลิงก์อ้างอิง

  • ฉันแปลกใจที่ทีมตรวจของ Google ปฏิเสธส่วนขยายของฉันไปครึ่งหนึ่ง
    แอป Uber Driver ต้องเปิดสิทธิ์เข้าถึงตำแหน่งแบบทำงานเบื้องหลังตลอดเวลา แต่ไม่มีทางเปลี่ยนได้ในตั้งค่า
    โพสต์ในฟอรัมที่เกี่ยวข้อง

    • ถ้า Google จริงจังกับการปกป้องผู้ใช้ ก็ควรหยุดแอปอย่าง WhatsApp ที่ ร้องขอสิทธิ์ไมโครโฟนอย่างต่อเนื่อง
      มีแต่แอปของ Meta ที่มองข้ามตัวเลือก “ถามทุกครั้ง”
      ดูเหมือน Google จะสนใจผู้ลงโฆษณามากกว่าผู้ใช้
    • น่าจะเป็นเพราะสิทธิ์แบบ “While using” ครอบคลุมการนำทางที่รันในเบื้องหลังด้วย
      มีอธิบายใน เอกสารนักพัฒนาของ Apple
    • บางครั้งการแบ่งประเภทสิทธิ์ของแอปก็คลุมเครือ
      เช่น ต้องการแค่เชื่อมต่อ Bluetooth แต่กลับขอสิทธิ์ “เข้าถึงข้อมูลตำแหน่ง”

  • โมเดลสิทธิ์ของส่วนขยายเบราว์เซอร์มีปัญหาพื้นฐาน
    ตอนติดตั้งจะให้สิทธิ์ทั้งหมดทีเดียว แล้วหลังจากนั้นจะมีอะไรเกิดขึ้นในอัปเดตก็ไม่รู้
    มันควรมี การร้องขอสิทธิ์ตอนรันจริง แบบ iOS
    ป้าย “Recommended” เป็นแค่การแก้ปัญหาเฉพาะหน้า และส่วนขยายที่ต้องการสิทธิ์ “อ่าน/แก้ไขข้อมูลบนทุกเว็บไซต์” ก็ไม่ควรมีอยู่ตั้งแต่แรก

    • ตอนนี้เลือกได้แค่ว่าจะใช้กับเว็บเดียวหรือทุกเว็บ ซึ่งสุดโต่งเกินไป
      ส่วนขยายที่ใช้กับบางเว็บเท่านั้นก็ยังต้องขอสิทธิ์เข้าถึงทุกเว็บ
      ฉันคิดว่าราวปี 2025 เราควรมี โมเดลสิทธิ์แบบ sandbox ที่ละเอียดกว่านี้

  • ฉันตกใจกับประโยคที่ว่า “เมื่อไม่กี่สัปดาห์ก่อน ฉันเปิด Claude ตอนกำลังตัดสินใจเรื่องสำคัญในชีวิต”
    ดูเหมือนว่าเราจะอยู่ในยุคแบบนี้จริง ๆ

    • เมื่อก่อนคนใช้การจับฉลากตัดสินใจ แต่ตอนนี้กลายเป็นยุคที่เอาเรื่องไปให้ ตัวทำนายที่ไร้ความเข้าใจ ตัดสินแทน
      มนุษย์พึ่งพา AI มากขึ้นเรื่อย ๆ เพื่อหลีกเลี่ยงความสับสนทางความคิด
    • บางคนต้องเขียนความคิดออกมาเป็นข้อความถึงจะจัดระเบียบได้
      ในแง่นั้นก็อาจมองว่าสมองของพวกเขา ทำงานคล้าย LLM
    • สำหรับฉัน การให้ AI ตัดสินใจแทนฟังดูบ้าสิ้นดี
      ฉันลองใช้ Claude สองครั้งแล้วแต่ไม่ค่อยช่วยอะไร
      บางทีก็ใช้แค่สรุป AI ของ DuckDuckGo
    • แต่จากการสำรวจของ HBR บอกว่า กรณีการใช้งานที่พบบ่อยที่สุดของ ChatGPT คือ ‘การบำบัด/คู่สนทนา’
      ที่มา
    • การฝากการตัดสินใจเรื่องชีวิตไว้กับ AI เป็นเรื่องโง่ แต่ถ้าใช้เป็น เครื่องมือช่วยจัดระเบียบความคิดและตั้งคำถาม ก็มีประโยชน์

  • ฉันเคยเห็น พฤติกรรมการติดตามของ BiScience มากับตา ดังนั้นเรื่องนี้จึงไม่น่าแปลกใจ
    ก่อนหน้านี้ก็เคยถูกพูดถึงในเหตุการณ์แฮ็กส่วนขยาย Cyberhaven
    บล็อกที่เกี่ยวข้อง 1, บล็อกที่เกี่ยวข้อง 2

  • ฉันไม่เข้าใจว่าทำไมคนจำนวนมากถึง เชื่อถือ VPN ฟรี
    แนวคิดแบบ “ส่งทราฟฟิกทั้งหมดของคุณมาให้เรา เราฟรีนะ” นี่ฉันขอผ่านเด็ดขาด

    • ISP ส่งมอบบันทึกการเชื่อมต่อทั้งหมดตามคำขอของรัฐได้ แต่ VPN อย่าง Mullvad ทำงานแบบไม่ต้อง KYC และแม้แต่ตอนถูกหมายค้นก็ไม่มีข้อมูลลูกค้ารั่วออกมา
      กรณีที่เกี่ยวข้อง
    • ISP ก็จัดการทราฟฟิกทั้งหมดเหมือนกับ VPN อยู่แล้ว จึงไม่ได้ต่างกันนัก
      นั่นแหละเหตุผลที่มี TLS
      โดยพื้นฐานแล้วควรมองว่าทราฟฟิกอินเทอร์เน็ตถูกดักฟังอยู่เสมอ
    • ในบางประเทศรายได้น้อย ผู้คนจำเป็นต้องใช้ VPN ฟรีเพราะข้อจำกัดการเข้าถึง
      แต่ส่วนตัวแล้วฉันไม่ไว้ใจอะไรนอกจาก Mullvad/IVPN/ProtonVPN
    • คนส่วนใหญ่ใช้ VPN ฟรีก็แค่เพื่อดูเนื้อหาที่ถูกบล็อก เช่น ทอร์เรนต์ สื่อลามก หรือการพนัน
      คนกลุ่มนี้มักเสิร์ช “free VPN” แล้วติดตั้งทันทีเพื่อเลี่ยงการทำสัญญาระยะยาว
      จริง ๆ แล้วนิสัยแบบนี้ก็คล้ายกับ การใช้ส่วนขยายพร่ำเพรื่อ
    • อย่างน้อยด้วย TLS ข้อมูลธนาคารก็ยังไม่โดนขโมยไปด้วย

  • Google ควร ตรวจและลบส่วนขยายแบบนี้ให้เข้มงวดกว่านี้
    ความน่าเชื่อถือคือหัวใจสำคัญ และส่วนขยายอย่าง LastPass หรือ Ward ก็มีคุณค่าจริง
    เราควรมีระบบอย่าง ไดเรกทอรีความปลอดภัยของส่วนขยายแบบสาธารณะ

    • แต่ก็สงสัยว่าการรีวิวโค้ดจะจับปัญหาแบบนี้ได้จริงหรือไม่
      การที่ส่วนขยายอ้างว่าเป็น “เครื่องมือป้องกัน AI” แล้วเก็บข้อมูลก็ยังสอดคล้องกับหน้าที่ของมันในเชิงฟังก์ชัน
      ปัญหาไม่ได้อยู่ที่โค้ด แต่อยู่ที่ นโยบายและวิธีใช้ข้อมูล
    • การตรวจแบบอัตโนมัติอย่างเดียวมีข้อจำกัด
      ถ้ามียอดติดตั้งเกินระดับหนึ่งก็ควรมี คนตรวจด้วยตัวเอง แต่ Google ดูจะไม่ชอบแนวทางนี้
    • ก็ยังสงสัยว่า Google รีวิวโค้ดจริงหรือเปล่า
    • จากการรีวิวโค้ดเพียงอย่างเดียว ไม่มีทางรู้ได้ว่าหลังจากนั้นข้อมูลบทสนทนาของผู้ใช้ถูกนำไปใช้อย่างไร

  • เคยได้ยินว่า Manifest V3 ทำให้ส่วนขยาย Chrome ปลอดภัยขึ้น แต่ก็ไม่แน่ใจว่าจริงแค่ไหน

    • ถึงอย่างนั้น Manifest V3 ก็ช่วยให้โค้ดต้องถูกรวมอยู่ในตัวส่วนขยาย ทำให้ ป้องกันการโหลดสคริปต์ภายนอกได้
      เมื่อก่อนตรวจจับแบบนี้ไม่ได้เลย
    • แต่สุดท้ายก็กลับไปที่คำถามว่า “พวกเขาหาเงินอย่างไร?”

  • เหตุการณ์นี้ไม่ใช่ระบบถูกแฮ็ก แต่เป็น ส่วนขยายหลอกลวงมาตั้งแต่ต้น
    เมื่อก่อนฉันสนุกกับการปรับแต่งผ่าน Greasemonkey แต่ตอนนี้เชื่อถือแค่ ส่วนขยายโอเพนซอร์ส อย่าง Privacy Badger และ Ublock Origin
    ถึงอย่างนั้น ความเสี่ยงก็ยังคงมีอยู่