Le nostre conversazioni private con i chatbot AI potrebbero non essere al sicuro. Anzi, potrebbero addirittura essere raccolte e vendute a scopo di lucro da soggetti poco raccomandabili. Questa la rivelazione della società di sicurezza Koi, con sede a Tel Aviv, che di recente ha fatto luce su una massiccia operazione di raccolta dati legata a un'estensione gratuita del browser Google Chrome, chiamata Urban VPN Proxy. Oggi rimossa, questa estensione offriva una VPN gratuita agli utenti del browser. In un’indagine pubblicata da Koi, il ricercatore di sicurezza Ian Dardikman afferma che l'estensione va ben oltre le azioni di una tipica VPN, poiché contiene al suo interno script “esecutivi” progettati per intercettare e registrare le conversazioni degli utenti con alcuni dei principali chatbot AI presenti sul mercato, come ChatGpt, Claude, Gemini, DeepSeek e Grok. Questo significa che, senza che gli utenti se ne rendano conto, Urban VPN Proxy raccoglie indistintamente tutte le informazioni che questi forniscono ai chatbot AI, incluse “domande relative alla salute, dettagli finanziari, codici riservati, dilemmi personali”. Dati privati e sensibili, poi venduti al miglior offerente “per ‘scopi di analisi di marketing'”.Come funziona Urban VPN ProxyCome emerso dall’indagine, l’estensione Urban VPN Proxy estrapola e raccoglie in background informazioni dalle conversazioni tra gli utenti e i chatbot, indipendentemente dal fatto che questa sia attiva o meno. “Per ogni piattaforma, l'estensione include uno script ‘executor’ dedicato progettato per intercettare e catturare le conversazioni. La raccolta è abilitata per impostazione predefinita tramite flag codificati nella configurazione dell'estensione”, il che rende impossibile per gli utenti disabilitare la funzione. L’unico modo per interrompere la raccolta dei dati, quindi, è disinstallare definitivamente l’estensione. Il vero problema, però, è questo: gli utenti finora non erano a conoscenza del “lavoro sporco” dell’estensione che, indisturbata, ha raccolto milioni di informazioni sensibili, vendute al miglior offerente.Eppure, una postilla nella privacy policy della società proprietaria di Urban VPN Proxy - Urban Cyber Security Inc – chiarisce la condivisione dei “dati di navigazione web con la […] società affiliata” BiScience, un data broker “che utilizza questi dati grezzi e crea approfondimenti che vengono utilizzati commercialmente e condivisi con i partner commerciali”. E qualche riga sparsa e quale all'interno dell'informativa chiarisce anche che la società divulga “le richieste all'intelligenza artificiale per scopi di analisi di marketing”. Di contro, però, il ricercatore di Koi fa notare che la pagina dedicata all’estensione sul Chrome Web Store chiarisce che “questo sviluppatore dichiara che i tuoi dati non vengono venduti a terzi, al di fuori dei casi d'uso approvati”. Insomma, c’è grande confusione sulla comunicazione della società in relazione all’attività di Urban VPN Proxy, il che rende difficile per gli utenti capire se farne uso significa o meno mettere a rischio la propria privacy.Una massiccia operazione di raccolta datiAllo stato attuale, secondo quanto riferito da Koi e riportato dalle testate internazionali di settore, Urban VPN Proxy vanta ben 6 milioni di utenti. Quello che stupisce, però, è che non si tratta della sola estensione progettata per intrufolarsi nelle conversazioni private con i chatbot. “La stessa funzionalità di raccolta dati tramite AI – si legge nel rapporto firmato da Ian Dardikman - è presente in altre sette estensioni dello stesso fornitore, sia su Chrome che su Edge”, tutte approvate da Google e Microsoft. Anzi, stando a quanto riportato da Forbes, ben sei estensioni su sette – tra cui Urban VPN Proxy, ovviamente – espongono il badge “In primo piano”, che segnala che queste “soddisfano un elevato standard di esperienza e design dell'utente”.In poche parole, dopo una revisione attenta, queste hanno ottenuto il benestare da parte delle società che gestiscono gli store, che rappresenta un importante certificato di affidabilità agli occhi degli utenti, spinti a installarle. La realtà, però, è un’altra: queste estensioni “sono rimaste attive per mesi raccogliendo alcuni dei dati più personali trasmessi dagli utenti online”. Pertanto, il suggerimento della società di sicurezza è quello di disinstallare qualunque delle estensioni segnalate, così da impedire che i data broker possano entrarne in possesso. Accettando, però, che è molto probabile che “tutte le conversazioni AI che avete avuto dal luglio 2025 siano state registrate e condivise con terze parti”.