اختراق الخصوصية الرقمية: إضافات المتصفح تجمع وتبيع محادثات الذكاء الاصطناعي

بينما تعد تقنيات الذكاء الاصطناعي بآفاق غير مسبوقة للابتكار، كشفت التحقيقات الأخيرة عن وجه آخر لهذه الثورة، حيث باتت تُستخدم كبوابة لانتهاك صارخ للخصوصية الرقمية. فقد أظهر تقرير حديث أن إضافات متصفحات شائعة مثل جوجل كروم ومايكروسوفت إيدج قامت بجمع وبيع محادثات ملايين المستخدمين مع منصات الذكاء الاصطناعي دون علمهم أو موافقتهم الصريحة. تجاوز عدد المتأثرين بهذه الممارسات حاجز الثمانية ملايين مستخدم حول العالم، في سابقة خطيرة تثير تساؤلات جوهرية حول أمان بياناتنا في الفضاء الرقمي المتطور. والمفارقة الكبرى أن هذه الإضافات كانت تُسوق على أنها أدوات لتعزيز الخصوصية والأمان.

على عكس التوقعات الأولية، التي رجحت أن تكون المشكلة مقتصرة على إضافات مغمورة، جاءت نتائج التحقيق صادمة لتكشف عن تورط إضافات ذات انتشار واسع. بدأت القصة عندما تساءل آيدان داردايكمان، أحد مؤسسي شركة Koi Security ومديرها التقني، عن حجم البيانات الحساسة التي يشاركها المستخدمون مع منصات الدردشة بالذكاء الاصطناعي مثل ChatGPT وGemini وGrok وClaude، ومدى احتمالية تعرضها للاطلاع الخفي. استعان داردايكمان بمحرك الأخطار القائم على الذكاء الاصطناعي، المعروف باسم Wings، ليفحص إضافات المتصفح التي تتمتع بصلاحيات قراءة واستخراج المحادثات من هذه المنصات. كانت النتائج غير متوقعة، حيث تصدرت القائمة إضافة شهيرة تحمل اسم Urban VPN Proxy، والتي تحظى بملايين المستخدمين.

الخصوصية المضللة

على الرغم من مكانتها البارزة وشارة “Featured” التي منحتها إياها جوجل، والتي يفترض أنها تُمنح للإضافات التي تستوفي معايير الجودة العالية، عملت Urban VPN Proxy تحت غطاء مضلل من الأمان. تُعد هذه الإضافة واحدة من أكثر إضافات المتصفح انتشارًا، حيث يتجاوز عدد مستخدميها على متجر كروم الرسمي 6 ملايين مستخدم، وتحمل تقييمًا مرتفعًا يبلغ 4.7 نجمة استنادًا إلى عشرات الآلاف من المراجعات. تُسوَّق الإضافة على أنها خدمة VPN مجانية تهدف إلى تعزيز الخصوصية والأمان، مما يجعلها خيارًا طبيعيًا للمستخدمين الباحثين عن حماية نشاطهم على الإنترنت.

غير أن التحليل الفني العميق الذي أجرته Koi Security كشف أن الإضافة تستهدف بشكل مباشر محادثات المستخدمين مع عدد كبير من منصات الذكاء الاصطناعي، بما في ذلك ChatGPT وClaude وGemini وMicrosoft Copilot وPerplexity، إضافة إلى DeepSeek وGrok التابع لشركة xAI وMeta AI. تبين أن الإضافة تحتوي على شيفرات تنفيذ مخصصة لكل منصة، صُممت لاعتراض المحادثات وجمعها بشكل منهجي. الأخطر في هذا السلوك أن عملية جمع البيانات مفعّلة افتراضيًا من خلال إعدادات مدمجة في بنية الإضافة نفسها، دون وجود أي خيار ظاهر أو إعداد واضح يسمح للمستخدم بتعطيلها. لا توجد وسيلة لإيقاف جمع المحادثات سوى إزالة الإضافة بالكامل من المتصفح، مما يترك المستخدمين عرضة للاستغلال دون دراية.

آلية الاختراق المعقدة

بشكل لافت، تعمل آلية جمع البيانات بشكل مستقل تمامًا عن وظيفة الـVPN الأساسية، مما يؤكد وجود أجندة منفصلة ومقصودة لجمع المعلومات. فسواء كان اتصال الـVPN مفعّلًا أو غير مفعّل، تستمر عملية جمع محادثات المستخدم مع المنصات الذكية في الخلفية دون انقطاع. تبدأ العملية بمراقبة الإضافة لعلامات التبويب المفتوحة في المتصفح، وعند زيارة أي منصة ذكاء اصطناعي مستهدفة، تقوم بحقن شفرة مخصصة مباشرة داخل الصفحة. بعد ذلك، تتولى الشفرة التحكم في وظائف أساسية داخل المتصفح مثل `fetch` و`XMLHttpRequest`، وهي الواجهات المسؤولة عن جميع طلبات الشبكة. يُعد هذا الأسلوب شديد التوغل، إذ يتيح للإضافة البرمجية أن تطلع على البيانات الخام لكل رسالة يرسلها المستخدم إلى ChatGPT وغيره من المنصات الذكية، وكل رد تقدمه تلك المنصات إلى المستخدم، قبل أن تظهر على شاشته داخل المحادثة.

تتجاوز العملية مجرد الاعتراض، حيث تعمل الشفرة بعد ذلك على تحليل الاستجابات الصادرة عن واجهات برمجة التطبيقات الخاصة بمنصات الذكاء الاصطناعي، وتستخرج نصوص الأسئلة والردود، والتوقيتات الزمنية للإرسال أو الاستقبال، ومعرفة كود المحادثات. ثم تُغلف هذه البيانات وتُرسل إلى شفرة الإضافة عبر آلية `window.postMessage`، باستخدام معرّف داخلي خاص. في المرحلة الأخيرة، يجري ضغط البيانات بالكامل وإرسالها إلى خوادم تابعة للشركة عبر نطاقات مخصصة للتحليلات. تخيل كاتبًا رقميًا يسجل كل كلمة يتم تبادلها في محادثة خاصة، ليس فقط المحتوى، بل أيضًا من قال ماذا ومتى بالضبط. ذكر التقرير أن البيانات التي جرى جمعها شملت كل ما كتبه المستخدم وكل ما تلقاه من ردود، إضافة إلى بيانات الجلسة التقنية، وتحديد المنصة المستخدمة ونموذج الذكاء الاصطناعي، مما يسمح بإعادة بناء المحادثات كاملة بسياقها الزمني والتقني.

لم يكن هذا السلوك العدواني موجودًا دائمًا؛ بل يمثل تحولًا متعمدًا في نطاق عمل الإضافة البرمجية. أظهر التحليل الزمني أنه قبل الإصدار 5.5.0، لم تكن هناك أي آلية لجمع محادثات الذكاء الاصطناعي، غير أن ذلك تغيّر في 9 يوليو الماضي، مع إطلاق الإصدار الجديد الذي أُدرجت فيه هذه الوظيفة بشكل افتراضي. ومنذ ذلك التاريخ وحتى وقت إعداد التقرير، استمرت الإضافة في جمع محادثات المستخدمين، مستفيدة من خاصية التحديث التلقائي لإضافات متصفحي كروم وإيدج، مما يعني أن ملايين المستخدمين انتقلوا إلى هذا السلوك الجديد دون علمهم أو موافقتهم.

حماية زائفة

من المفارقات اللافتة، تروّج الإضافة لميزة “حماية الذكاء الاصطناعي” (AI Protection)، والتي تدّعي أنها تفحص الأسئلة بحثًا عن بيانات شخصية وتحذّر من الروابط المشبوهة في ردود الذكاء الاصطناعي، بينما تعمل في الخفاء على تقويض هذه الحماية. إلا أن التحليل الذي أجراه فريق Koi Security كشف عن أن هذه التحذيرات تعمل بشكل منفصل تمامًا عن عملية جمع البيانات، وأن تفعيلها أو تعطيلها لا يؤثر بأي شكل على استمرار حصد المحادثات. بحسب التقرير، تحذّر الإضافة المستخدمين من مشاركة بيانات حساسة مع منصات الذكاء الاصطناعي، بينما ترسل في الوقت نفسه تلك البيانات نفسها، مع كامل المحادثة، إلى خوادمها الخاصة لأغراض التحليل والتسويق، مما يجعل الحماية المعلنة مجرد واجهة خادعة.

نمط اختراق منهجي

لم يتوقف الأمر عند إضافة واحدة، بل امتد ليكشف عن استراتيجية منسقة عبر شبكة من الإضافات المتصلة. أظهر توسيع نطاق التحقيق أن الشفرة نفسها مستخدمة في 7 إضافات أخرى تابعة للناشر ذاته، موزعة بين متجري جوجل كروم ومايكروسوفت إيدج، وتشمل أدوات مثل 1ClickVPN Proxy، وUrban Browser Guard، وUrban Ad Blocker. بجمع أعداد المستخدمين عبر هذه الإضافات، تجاوز إجمالي المتأثرين 8 ملايين مستخدم، مما يؤكد أن هذا ليس حادثًا فرديًا بل نمطًا منهجيًا للاستغلال.

الشركة التي تقف وراء هذه الإضافات هي Urban Cyber Security Inc، المرتبطة بشركة BiScience المعروفة بنشاطها كوسيط لبيع بيانات مستخدمي الإنترنت. سبق لباحثين أمنيين أن وثقوا الممارسات الاحتيالية للشركة، والتي تشمل جمع بيانات تصفح للويب تفصيلية وربطها بمعرّفات أجهزة دائمة، وبيع هذه البيانات عبر منتجات تحليلية موجهة للمعلنين. يمثل الانتقال من جمع سجل التصفح إلى جمع محادثات الذكاء الاصطناعي تصعيدًا خطيرًا نظرًا للحساسية الفائقة لهذا النوع من البيانات الشخصية. يمكن الاطلاع على المزيد حول ممارسات وسطاء البيانات وتأثيرها على الخصوصية الرقمية عبر تقارير متخصصة مثل تلك التي تنشرها مؤسسات مثل Electronic Frontier Foundation.

على الرغم من خطورة هذه الممارسات، تشير سياسة الخصوصية الخاصة بالإضافة إلى جمع “مدخلات ومخرجات الذكاء الاصطناعي” ومشاركتها لأغراض تحليل تسويقي، بما في ذلك مشاركتها مع شركة BiScience وشركاء أعمال آخرين. في المقابل، تؤكد صفحة الإضافة على متجر Chrome Web Store أن البيانات لا تُباع لأطراف ثالثة، في تناقض واضح يضع المستخدم أمام معلومات مضللة عند اتخاذ قرار التثبيت. هذا التضارب لا يقوض ثقة المستخدمين فحسب، بل يثير تساؤلات جدية حول مدى فعالية آليات المراجعة والتدقيق في متاجر الإضافات الكبرى، وضرورة إعادة تقييم معايير الأمان والخصوصية في عصر الذكاء الاصطناعي المتسارع.