فضيحة Urban VPN Proxy: عندما تسرق أداة "الخصوصية" محادثاتك مع الذكاء الاصطناعي
باحثون يكشفون: إضافة VPN شهيرة سرقت وباعت محادثات ChatGPT و Gemini لأكثر من 6 ملايين مستخدم. انتهاك صارخ للخصوصية والبيانات.
في عالمنا الرقمي المتسارع، أصبحت أدوات الخصوصية مثل شبكات VPN وإضافات المتصفح جزءًا لا يتجزأ من روتيننا اليومي، نثق بها لحماية بياناتنا وتصفحنا. ولكن ماذا لو كانت هذه الأدوات نفسها هي من تتجسس علينا وتبيع أسرارنا؟ هذا هو الكابوس الذي تحول إلى حقيقة ملايين المستخدمين مؤخرًا، في فضيحة هزت المجتمع التقني وكشفت عن الوجه المظلم لبعض تطبيقات "الخصوصية". في مدونة العالم الافتراضي، نلقي الضوء على تفاصيل هذه الفضيحة المروعة، ونستكشف كيف قامت إضافة VPN شهيرة بسرقة محادثات ChatGPT و Gemini من أكثر من 6 ملايين مستخدم، وماذا يعني ذلك لمستقبل خصوصيتنا الرقمية.
كشف الستار عن الفضيحة: "أداة الخصوصية" التي باعت الأسرار
في 14 ديسمبر، أصدر باحثو الأمن من شركة Koi تقريرًا صادمًا كشف عن ممارسات غير أخلاقية من قبل إضافة متصفح شهيرة تدعى Urban VPN Proxy. هذه الإضافة، التي يثق بها أكثر من 6 ملايين مستخدم، والتي تحمل بفخر شارة "مميزة" من متجر Google Chrome، كانت تقوم بجمع وبيع المحادثات الخاصة مع منصات الذكاء الاصطناعي سرًا لسماسرة البيانات لمدة ستة أشهر تقريبًا. هذه الممارسات بدأت منذ يوليو 2025 (وفقًا لتاريخ التقرير المذكور في المصدر، والذي يبدو أنه تاريخ مستقبلي، ولكننا سنتعامل معه على أنه حدث واقعي تم الكشف عنه في ديسمبر). يلقي هذا الكشف بظلال من الشك على مفهوم "أدوات الخصوصية" ويثير تساؤلات جدية حول مدى أمان بياناتنا الشخصية في الفضاء الرقمي.
كانت Urban VPN Proxy، التي تديرها Urban Cyber Security Inc. وترتبط ارتباطًا وثيقًا بسمسار البيانات BiScience، تعترض كل محادثة يجريها المستخدمون مع منصات الذكاء الاصطناعي الرائدة مثل ChatGPT و Gemini و Claude، بالإضافة إلى ست منصات ذكاء اصطناعي رئيسية أخرى. تخيل أن كل سؤال طبي، أو تفاصيل مالية حساسة، أو حتى تعليمات برمجية مملوكة قمت بمشاركتها مع مساعدك الذكي، قد تم جمعها وبيعها لأطراف ثالثة "لأغراض تحليل التسويق". هذا ليس مجرد انتهاك بسيط للخصوصية؛ إنه اختراق شامل للأمان والثقة.
الأمر لا يتوقف عند Urban VPN Proxy. فقد تبين أن سبع إضافات متصفح إضافية من نفس الناشر تحتوي على نفس التعليمات البرمجية لجمع البيانات، مما يؤثر على أكثر من 8 ملايين مستخدم إجمالاً عبر متصفحي Chrome و Microsoft Edge. والمثير للقلق أن جميع هذه الإضافات، باستثناء واحدة، تحمل أيضًا شارات "مميزة" من متاجرها الخاصة، مما يشير إلى أنها اجتازت مراجعة يدوية من قبل فرق المنصات، وهو ما يثير تساؤلات حول فعالية هذه المراجعات.
كيف تم التجسس: الآلية التقنية لسرقة البيانات
لم تكن عملية التجسس مجرد جمع سطحي للبيانات. لقد كانت متطورة تقنيًا ومصممة بعناية فائقة للتغلب على آليات الحماية العادية. يوضح تقرير The Hacker News استناداً إلى تحليلات Koi كيف أن هذه الإضافات حقنت نصوصًا برمجية "منفذة" مخصصة—خاصةً chatgpt.js و claude.js و gemini.js—في صفحات منصات الذكاء الاصطناعي عندما يزورها المستخدمون. هذه النصوص البرمجية لم تكن مجرد أدوات مراقبة عادية؛ بل قامت بإعادة تعريف وظائف المتصفح الأساسية مثل fetch() و XMLHttpRequest().
باختصار، fetch() و XMLHttpRequest() هما طريقتان قياسيتان تستخدمهما صفحات الويب لإجراء طلبات الشبكة (مثل إرسال سؤال إلى ChatGPT أو تلقي إجابة منه). من خلال تجاوز هذه الوظائف، تمكنت الإضافات من اعتراض حركة مرور الشبكة بالكامل قبل أن يتم عرضها في المتصفح أو حتى قبل أن تتم معالجتها بالكامل بواسطة الصفحة الأصلية. هذا يعني أن كل جزء من محادثات الذكاء الاصطناعي، من أسئلتك إلى ردود الذكاء الاصطناعي، أصبح مرئيًا للإضافة.
تضمنت البيانات التي تم التقاطها: كل سؤال (prompt)، وكل إجابة من الذكاء الاصطناعي، والطوابع الزمنية للمحادثات، والبيانات الوصفية للجلسة، بالإضافة إلى المنصة المحددة ونموذج الذكاء الاصطناعي المستخدم. بعد جمع هذه المعلومات الحساسة، كانت تُضغط وتُرسل إلى خوادم Urban VPN، وتحديداً analytics.urban-vpn.com و stats.urban-vpn.com. وهذا يظهر نية واضحة ومنهجية لجمع البيانات وليس مجرد خطأ تقني.
"تم تفعيل جمع البيانات بشكل افتراضي عبر مؤشرات مدمجة في تكوين الإضافة. لا توجد إعدادات مرئية للمستخدم لتعطيلها. الطريقة الوحيدة لوقف جمع البيانات هي إلغاء تثبيت الإضافة بالكامل."
إيدان درديكمان، باحث في Koi
ما يجعل الأمر أكثر خطورة هو أن جمع البيانات هذا كان يعمل بشكل مستقل عن وظيفة VPN الأساسية. لقد استمر حتى عندما تم فصل VPN أو عندما تم تعطيل تحذيرات "حماية الذكاء الاصطناعي" المزعومة. هذا يشير إلى أن الهدف الأساسي لم يكن توفير خدمة VPN بل كان جمع البيانات، مما يجعل وظيفة VPN ستارًا لإخفاء الهدف الحقيقي.
تحديثات صامتة وشارة "مميزة": خداع الثقة
الجزء الأكثر إثارة للقلق في هذه الفضيحة هو كيف تم تنفيذ عملية جمع البيانات هذه. لم يكن المستخدمون على علم على الإطلاق بالتغيير في ممارسات الخصوصية. الإصدار 5.5.0 من الإضافة، الذي صدر في 9 يوليو 2025، هو الذي أدخل قدرة جمع بيانات الذكاء الاصطناعي من خلال تحديث تلقائي. هذا يعني أن المستخدمين الذين قاموا بتثبيت الإضافة قبل هذا التاريخ لم يوافقوا أبدًا على ممارسات البيانات الجديدة.
تتحديث إضافات Chrome و Edge تلقائيًا بشكل افتراضي، مما يعني أن المستخدمين "استيقظوا ذات يوم ليجدوا رمزًا جديدًا يجمع محادثاتهم مع الذكاء الاصطناعي بصمت"، وفقًا لـ Koi. هذا السلوك استغلالي بشكل صارخ، حيث يستغل آلية التحديث التلقائي الشائعة لفرض سياسات بيانات جديدة دون موافقة صريحة من المستخدمين. هذه الممارسة تقوض الثقة الأساسية بين المستخدمين ومطوري البرامج.
وتتفاقم المشكلة بسبب حقيقة أن هذه الإضافات تحمل شارة "مميزة" (Featured) في متاجر المتصفحات. يُفترض أن هذه الشارات تدل على أن الإضافات قد اجتازت فحصًا يدويًا دقيقًا من قبل فرق المنصات، مما يمنحها ختم الموافقة والثقة. ومع ذلك، فإن وجود هذه الشارات في إضافات تقوم بسرقة بيانات المستخدمين بهذه الطريقة يثير تساؤلات جدية حول مدى فعالية عمليات المراجعة هذه وما إذا كانت تركز بشكل كافٍ على ممارسات الخصوصية والأمان الحقيقية، وليس فقط على الوظائف السطحية.
الإضافات المتضررة وأعداد المستخدمين: حجم الكارثة
الفضيحة لم تقتصر على Urban VPN Proxy فحسب، بل امتدت لتشمل عدة إضافات أخرى من نفس الناشر، Urban Cyber Security Inc. هذا يوضح أن جمع البيانات لم يكن حادثًا منفردًا، بل كان استراتيجية ممنهجة عبر محفظة منتجاتهم. فيما يلي جدول يوضح الإضافات المتأثرة وأعداد المستخدمين التقديرية على متصفحي Chrome و Edge، مما يعكس حجم الكارثة:
| اسم الإضافة | عدد المستخدمين (Chrome) | عدد المستخدمين (Edge) | الإجمالي التقريبي |
|---|---|---|---|
| Urban VPN Proxy | 6,000,000 | 1,300,000 | 7,300,000 |
| 1ClickVPN Proxy | 600,000 | 36,459 | 636,459 |
| Urban Browser Guard | 40,000 | 12,624 | 52,624 |
| Urban Ad Blocker | 10,000 | 6,476 | 16,476 |
| إضافات أخرى (3 إضافات) | غير محدد | غير محدد | ~100,000 |
| إجمالي المستخدمين المتضررين (تقديري) | ~8,105,559+ | ||
يتجاوز إجمالي المستخدمين المتضررين 8 ملايين شخص، وهو عدد هائل يؤكد على مدى انتشار هذه المشكلة. الأرقام وحدها تحكي قصة مدى خطورة الإهمال في مراجعة الإضافات والاعتماد الأعمى على شارات "مميزة" التي قد تخفي ممارسات خبيثة.
العلاقة مع سماسرة البيانات: من Urban VPN إلى BiScience
ما يميز هذه الفضيحة هو العلاقة الواضحة بين Urban Cyber Security Inc.، الشركة المطورة للإضافات، وشركة BiScience، التي توصف بأنها سمسار بيانات. هذه العلاقة ليست مجرد صدفة؛ إنها تشير إلى نموذج عمل قائم على جمع البيانات الحساسة وبيعها. سياسة خصوصية Urban VPN، على الرغم من أنها تذكر جمع "مدخلات ومخرجات الذكاء الاصطناعي" لأغراض "تحليل التسويق"، فإن صفحتها على متجر Chrome Web Store تنص صراحة على أن البيانات "لا تُباع لأطراف ثالثة".
هذا التناقض الصارخ بين ما هو مذكور في سياسة الخصوصية وما هو معروض للجمهور على متجر الإضافات يمثل خداعًا واضحًا للمستخدمين. فبينما يرى المستخدمون على صفحة المتجر تأكيدًا بعدم بيع بياناتهم، كانت الشركة في الواقع تجمع وتبيع هذه البيانات بشكل منهجي. هذه الممارسات لا تقوض فقط ثقة المستخدمين في الإضافة نفسها، بل وتلقي بظلالها على مصداقية المنصات التي تستضيف هذه الإضافات، مثل Google و Microsoft.
ذكرت Forbes أنها تواصلت مع Google و OpenAI و Urban Cyber Security للحصول على تعليقات، لكن لم يتم نشر أي رد رسمي في وقت إعداد التقرير. عدم وجود رد سريع وشفاف من الأطراف المعنية يزيد من القلق ويثير تساؤلات حول كيفية التعامل مع مثل هذه الانتهاكات واسعة النطاق.
تداعيات الفضيحة: انتهاك الخصوصية وتآكل الثقة
تداعيات هذه الفضيحة متعددة الأوجه وخطيرة للغاية. أولاً وقبل كل شيء، تمثل انتهاكًا صارخًا للخصوصية الشخصية. محادثات الذكاء الاصطناعي غالبًا ما تتضمن معلومات حساسة للغاية:
- معلومات طبية: استشارات حول الأعراض، طلب نصائح صحية، مناقشة حالات طبية شخصية.
- تفاصيل مالية: استفسارات حول الاستثمارات، طلب مساعدة في الميزانية، أو حتى مناقشة مشكلات مالية خاصة.
- شفرة ملكية / معلومات سرية: مطورون يطلبون المساعدة في تصحيح الأخطاء البرمجية، أو مهندسون يناقشون تصميمات سرية، أو حتى طلاب يسعون للحصول على مساعدة في مشاريع حساسة.
تسريب هذه الأنواع من البيانات إلى سماسرة البيانات يمكن أن يؤدي إلى مخاطر جسيمة، بما في ذلك الاحتيال المالي، سرقة الهوية، الابتزاز، واستغلال المعلومات التجارية. تخيل أن منافسًا تجاريًا يحصل على شفرتك المصدرية، أو أن شخصًا يستخدم معلوماتك الصحية ضدك.
ثانيًا، تؤدي هذه الفضيحة إلى تآكل الثقة. يثق المستخدمون في أدوات الخصوصية لتوفير الأمان، وفي منصات المتصفح لضمان أن الإضافات آمنة. عندما يتم خيانة هذه الثقة على نطاق واسع بهذا الشكل، يصبح المستخدمون مترددين في استخدام هذه الأدوات والخدمات، مما يعوق الابتكار ويخلق بيئة من الشك وعدم اليقين في الفضاء الرقمي. كما أنها تضر بسمعة صناعة VPN بأكملها، حيث تُعتبر خدمات VPN عادةً معيارًا للخصوصية والأمان.
ثالثًا، تثير أسئلة حول مسؤولية شركات التكنولوجيا الكبرى. كيف يمكن لإضافة ذات "شارة مميزة" أن تظل على متجر Chrome Web Store بينما تنخرط في مثل هذه الممارسات الخبيثة؟ هل تحتاج Google و Microsoft إلى مراجعة شاملة لعمليات مراجعة الإضافات لديهما لضمان حماية المستخدمين بشكل أفضل؟ يشدد Cyber Insider على ضرورة يقظة المستخدمين ومسؤولية المنصات.
تدابير حماية المستخدمين: خطوات فورية واستراتيجيات طويلة الأمد
في ضوء هذه الفضيحة، من الأهمية بمكان أن يتخذ المستخدمون خطوات فورية لحماية أنفسهم، وأن يتبنوا استراتيجيات طويلة الأمد لتعزيز خصوصيتهم الرقمية:
خطوات فورية:
- إلغاء تثبيت الإضافات المتضررة فورًا: ينصح خبراء الأمن بشدة بإلغاء تثبيت Urban VPN Proxy و 1ClickVPN Proxy و Urban Browser Guard و Urban Ad Blocker وأي إضافات أخرى من Urban Cyber Security Inc. على الفور. يجب افتراض أن أي محادثة ذكاء اصطناعي أجريتها منذ يوليو 2025 قد تم التقاطها ومشاركتها مع أطراف ثالثة.
- تغيير كلمات المرور: إذا كنت قد ناقشت أي معلومات حساسة (مثل تفاصيل حسابات، معلومات بطاقات ائتمان) مع الذكاء الاصطناعي، فمن الحكمة تغيير كلمات المرور الخاصة بالحسابات المتأثرة.
- مراجعة الحسابات المصرفية: مراقبة بياناتك المصرفية وبطاقات الائتمان لأي نشاط مشبوه.
- تحديث سياسات الخصوصية: كن حذرًا عند استخدام أي خدمات VPN أو إضافات متصفح أخرى. اقرأ مراجعات المستخدمين والتقارير الأمنية وراجع سياسات الخصوصية بعناية فائقة.
استراتيجيات طويلة الأمد لتعزيز الخصوصية:
- الحد من الإضافات: قم بتثبيت الإضافات الضرورية فقط، والتي تأتي من مطورين موثوقين وذوي سمعة جيدة. كل إضافة هي نقطة دخول محتملة لمخاطر أمنية.
- قراءة الأذونات بعناية: قبل تثبيت أي إضافة، اقرأ الأذونات التي تطلبها بعناية. إذا كانت الإضافة تطلب أذونات لا تتناسب مع وظيفتها الأساسية (مثل VPN يطلب الوصول إلى "قراءة وتغيير جميع بياناتك على المواقع التي تزورها")، فكن حذرًا للغاية.
- استخدام أدوات حماية الخصوصية الموثوقة: اختر خدمات VPN و أدوات حماية الخصوصية التي تتمتع بسمعة قوية في عدم حفظ السجلات (no-logs policy) وتخضع لتدقيقات أمنية مستقلة ومنتظمة.
- تشفير المحادثات الحساسة: عند التعامل مع معلومات بالغة الحساسية، فكر في استخدام طرق اتصال مشفرة من طرف إلى طرف (end-to-end encrypted) وتجنب مشاركتها مع أي خدمة ذكاء اصطناعي عامة.
- البقاء على اطلاع: تابع أخبار الأمن السيبراني وتقارير الثغرات الأمنية من مصادر موثوقة لمواكبة أحدث التهديدات وأفضل الممارسات.
تذكر أن الخصوصية هي مسؤولية مشتركة، تبدأ بالوعي وتستمر باليقظة والتصرف بحكمة.
الاستجابة التنظيمية ومستقبل خصوصية الذكاء الاصطناعي
تثير هذه الفضيحة تساؤلات حاسمة حول دور الهيئات التنظيمية والحكومات في حماية بيانات المستخدمين في عصر الذكاء الاصطناعي. مع تزايد اعتمادنا على الذكاء الاصطناعي في جوانب حياتنا اليومية، تتزايد الحاجة إلى أطر تنظيمية قوية تضمن عدم استغلال البيانات الشخصية.
ينبغي على الهيئات التنظيمية مثل مفوضي حماية البيانات ووكالات الأمن السيبراني التحقيق في هذه الحالات بشكل جاد وتطبيق عقوبات رادعة على الشركات التي تنتهك خصوصية المستخدمين. كما يجب أن تعمل على تحديث وتطبيق قوانين حماية البيانات الحالية، مثل اللائحة العامة لحماية البيانات (GDPR) في أوروبا وقانون خصوصية المستهلك في كاليفورنيا (CCPA)، لتشمل بوضوح البيانات الناتجة عن التفاعل مع الذكاء الاصطناعي.
علاوة على ذلك، يجب على مطوري منصات الذكاء الاصطناعي مثل OpenAI (لـ ChatGPT) و Google (لـ Gemini) أن يعززوا تدابيرهم الأمنية لحماية محادثات المستخدمين. يمكن أن يشمل ذلك:
- تشفير البيانات بشكل افتراضي: ضمان تشفير جميع المحادثات المخزنة والمنقولة.
- مراجعات أمنية دورية: إجراء تدقيقات أمنية منتظمة لخدماتهم والواجهات البرمجية (APIs) التي تستخدمها الإضافات.
- توفير خيارات خصوصية واضحة: منح المستخدمين تحكمًا أكبر في بياناتهم، بما في ذلك خيارات واضحة لحذف المحادثات أو منع استخدامها لتدريب النماذج.
مستقبل خصوصية الذكاء الاصطناعي يعتمد على تعاون وثيق بين المطورين، المنظمين، وبالطبع المستخدمين الواعين. يجب أن يكون هناك ضغط مستمر نحو الشفافية والمساءلة لضمان أن التكنولوجيا تخدم البشرية بأمان ومسؤولية.
الأسئلة الشائعة
س: ما هي الإضافات المتضررة تحديداً؟
ج: الإضافات الرئيسية هي Urban VPN Proxy، 1ClickVPN Proxy، Urban Browser Guard، و Urban Ad Blocker. وهناك ثلاث إضافات أخرى من نفس الناشر تحتوي على نفس التعليمات البرمجية لجمع البيانات.
س: هل كانت هذه الإضافات تعمل كشبكة VPN حقيقية؟
ج: نعم، كانت توفر وظيفة VPN، ولكن جمع البيانات كان يعمل بشكل مستقل عن وظيفة VPN واستمر حتى عند فصلها، مما يشير إلى أن وظيفة VPN كانت ستارًا لجمع البيانات.
س: ما نوع البيانات التي تم جمعها؟
ج: كل سؤال وجواب من الذكاء الاصطناعي، والطوابع الزمنية للمحادثات، والبيانات الوصفية للجلسة، والمنصة ونموذج الذكاء الاصطناعي المستخدم. يمكن أن تشمل هذه معلومات طبية، مالية، ورموز برمجية ملكية.
س: كيف تمكنت هذه الإضافات من جمع البيانات دون علمي؟
ج: قامت الإضافات بحقن نصوص برمجية في صفحات الذكاء الاصطناعي التي تزورها، وتجاوزت وظائف المتصفح الأساسية (مثل fetch()) لاعتراض حركة مرور الشبكة قبل عرضها. تم تفعيل ذلك عبر تحديث صامت للإصدار 5.5.0 في يوليو 2025.
س: ما الذي يجب أن أفعله الآن لحماية نفسي؟
ج: قم بإلغاء تثبيت جميع الإضافات المتضررة فورًا. غير كلمات المرور للحسابات التي قد تكون ناقشت معلوماتها مع الذكاء الاصطناعي. راقب حساباتك المالية. وكن حذرًا للغاية عند تثبيت أي إضافات مستقبلًا، وراجع أذوناتها وسياسات خصوصيتها.
س: هل يجب أن أتوقف عن استخدام إضافات المتصفح؟
ج: ليس بالضرورة. يمكن أن تكون الإضافات مفيدة، ولكن يجب توخي الحذر الشديد. استخدم فقط الإضافات من مطورين موثوقين، واقرأ مراجعات المستخدمين، وتفحص أذونات الإضافة قبل التثبيت. قلل من عدد الإضافات المثبتة.
الخلاصة
فضيحة Urban VPN Proxy هي تذكير مؤلم بأن الثقة في العالم الرقمي سلعة ثمينة ويجب اكتسابها باستمرار. ما بدا كأداة لتعزيز الخصوصية تحول إلى كابوس لانتهاكها على نطاق واسع، مما كشف عن هشاشة حدودنا الرقمية وعواقب التحديثات الصامتة والمراجعات السطحية. أكثر من 8 ملايين مستخدم لم يكونوا ضحايا لبرنامج ضار تقليدي، بل لشركة استغلت ثقتهم لجمع وبيع محادثاتهم مع الذكاء الاصطناعي.
في مدونة العالم الافتراضي، نؤمن بأن الوعي هو خط الدفاع الأول. إن فهم كيفية عمل هذه الانتهاكات والخطوات التي يمكن اتخاذها لحماية أنفسنا أمر بالغ الأهمية. يجب على المستخدمين أن يكونوا أكثر يقظة، وعلى المنصات أن تتحمل مسؤوليتها في ضمان أمان ونزاهة الإضافات التي تستضيفها، وعلى الهيئات التنظيمية أن تفرض عقوبات قوية لردع مثل هذه الممارسات.
دع هذه الفضيحة تكون حافزًا لنا جميعًا لإعادة تقييم علاقتنا مع أدواتنا الرقمية، والتحقق دائمًا من مصدر وجودة ما نثبته على أجهزتنا. ففي نهاية المطاف، خصوصيتنا هي مسؤوليتنا، ويجب ألا نتركها في أيدي مطورين لا يضعون قيمنا فوق أرباحهم.
تجدون المزيد من المقالات المتعمقة حول الأمن السيبراني والواقع الافتراضي وخصوصية البيانات على مدونة العالم الافتراضي. انضموا إلى مجتمعنا لتبقوا على اطلاع دائم بأحدث التطورات والنصائح لحياة رقمية أكثر أمانًا!
ليست هناك تعليقات:
إرسال تعليق
اترك لنا تعليق أسفله و شكرا على مساهمتكم