インストール後に、自動アップデートすることで会話を傍受・取得する機能を追加
これら拡張機能は最初から会話内容などを取得する振る舞いをしていたわけではなく、後から自動アップデートすることでそう変更された。そして、何が起きているのかについてプライバシーポリシーは非常にわかりにくい。見かけ上はプライバシーを守るガードのように提示されているが、実際にはそうではない。「プライバシーポリシーはデータの流れを次のように示しています。『当社はウェブ閲覧データを当社の関連会社と共有します』。この関連会社はデータブローカーであり、『商業目的で利用され、共有されるインサイトを作成します』」。
2025年7月以降に行ったAIとの会話はすべて取得され、第三者と共有されたおそれ
またこれらの拡張機能は、「ユーザーがオンラインで生み出す最も個人的なデータの一部を収集し続けながら、何カ月もの間稼働し続けていた」。要するに、とKoiはいう。「もしこれらの拡張機能のいずれかをインストールしているなら、今すぐ削除すべきです。2025年7月以降に行ったAIとの会話はすべて、取得され、第三者と共有されたとみなしたほうがよいです」。
プライバシーポリシーのわかりにくさ
筆者は以前から、AIのプライバシーポリシーは変わらなければならないと警告してきた。ブラウザー拡張機能の場合は状況はさらに悪い。誰もこれらを読んでいないのだ。「Urban VPNは、こうした点の一部については開示しています――どこを見ればよいか知っていれば、の話です。拡張機能のセットアップ時に表示される同意プロンプトには、『生成AIとの通信』に加え、『あなたが訪問するページ』や『セキュリティシグナル』を拡張機能が処理することが記載されています。そこでは、これが『これらの保護を提供するため』に行われると説明されているのです」。
Koiはさらに次のように付け加える。「プライバシーポリシーは、文書の深い部分でさらに踏み込んだ記述をしています。『AIの入力および出力。閲覧データの一部として、当社は、該当する場合、エンドユーザーが問い合わせた、またはAIチャットプロバイダーが生成したプロンプトおよび出力を収集します』。そして、『当社はマーケティング分析目的でAIプロンプトも開示します』とも記されているのです」。
データ収集を止める唯一の方法は、拡張機能を完全に削除すること
Koiによれば、「各プラットフォームごとに、会話を傍受・取得するよう設計された専用の『executor』スクリプトが拡張機能に組み込まれています。この収集機能は、拡張機能の設定にハードコードされたフラグによって、デフォルトで有効化されているのです」という。
警告しておく。これはハードコードされている。「これを無効にするためのユーザー向けの切り替えスイッチは存在しません。データ収集を止める唯一の方法は、拡張機能を完全に削除することなのです」。Koiはさらに、「拡張機能はブラウザーのタブを監視しており、対象となるAIプラットフォームのいずれかを訪れると、そのページに『executor』スクリプトを直接注入します。各プラットフォームには、chatgpt.js、claude.js、gemini.jsのように、それぞれ専用のスクリプトが用意されているのです」と説明している。
筆者はグーグル、OpenAIおよびUrban Cyber Securityにコメントを求めている。
Chrome上で拡張機能を削除する手順
・Chromeの右上にある、点が縦に3つ並んだアイコン(︙)をクリック(または、ブラウザーの検索バーに「chrome://extensions」と入力して管理画面を直接開く)
・開いたメニューにある[拡張機能]を選択
・さらにサブメニューが開くので、[拡張機能を管理]をクリック
・「すべての拡張機能」が開いたら、目的の拡張機能の項目で「削除」ボタンをクリック
・削除するかどうか確認されるので、再度「削除」ボタンをクリック
拡張機能を直接削除したい場合の手順
・拡張機能がインストールされているフォルダーを開く
Windows 11/10:「C:\Users\<ユーザー名>\AppData\Local\Google\Chrome\User Data\Default\Extensions」
macOS:「/Users/<ユーザー名>/Library/Application Support/Google/Chrome/Default/Extensions/」
・該当するIDと同じ名前のフォルダーを探し、削除する
・Chromeを再起動する
