Se usate estensioni del browser per accedere ai chatbot come ChatGPT o DeepSeek, fate attenzione: i ricercatori di OX Security hanno scoperto due componenti aggiuntivi malevoli che rubavano le conversazioni degli utenti e le inviavano a server esterni.

Le estensioni incriminate si chiamano “Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI” e “AI Sidebar with Deepseek, ChatGPT, Claude, and more“, e insieme contano circa 900.000 installazioni. Entrambe imitavano un’estensione legittima e, come riporta The Hacker News, al momento della scoperta erano ancora disponibili sul Chrome Web Store (la prima aveva persino il badge “In primo piano” di Google).

Come funzionava il furto

Una volta installate, le estensioni chiedevano il consenso per raccogliere “dati anonimi” per migliorare l’esperienza. In realtà, ogni 30 minuti inviavano a server controllati dagli attaccanti il contenuto completo delle conversazioni con ChatGPT e DeepSeek, insieme agli URL di tutte le schede aperte nel browser.

Il rischio non è da sottovalutare: chi usa questi chatbot per lavoro potrebbe aver condiviso informazioni riservate, dati aziendali, strategie, codice sorgente. Materiale che ora potrebbe finire in vendita nei forum underground o essere usato per attacchi mirati.

Anche estensioni “legittime” lo fanno

La scoperta si inserisce in un fenomeno più ampio che i ricercatori hanno battezzato “Prompt Poaching”: sempre più estensioni raccolgono le conversazioni con i chatbot. Alcune lo fanno in modo malevolo, altre in modo tecnicamente legale ma poco trasparente. Tra queste ultime ci sarebbero anche Similarweb e Stayfocusd, che hanno aggiornato le loro policy per includere esplicitamente la raccolta di questo tipo di dati.

Il consiglio è sempre lo stesso: installate solo estensioni di cui avete realmente bisogno e verificate sempre i permessi richiesti!