Introdução
Pesquisadores de segurança identificaram duas extensões maliciosas no Chrome Web Store que coletavam conversas geradas no ChatGPT e no DeepSeek, além de dados de navegação, e as enviavam para servidores controlados por atacantes. As extensões somavam mais de 900 mil instalações, segundo relatório do The Hacker News.
Descoberta e escopo
De acordo com o The Hacker News, as extensões detectadas foram projetadas para interceptar conteúdo de conversas em interfaces de IA e complementar a coleta com metadados de navegação do usuário. A matéria cita explicitamente o nome parcial de uma delas — “Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI” — e afirma que, em conjunto, as duas extensões alcançavam mais de 900.000 usuários.
Vetor e o que foi exfiltrado
- Dados de conversas em ChatGPT e DeepSeek (conteúdo das interações com modelos de linguagem).
- Dados de navegação correlacionados (metadados de sites visitados).
- Envio desses dados para servidores sob controle dos atacantes.
Evidências e limites da informação disponível
A reportagem registra as alegações dos pesquisadores sobre exfiltração e o alcance de instalações, mas não fornece na íntegra detalhes técnicos como domínios de comando e controle (C2), indicadores de compromisso (IOCs), métodos de persistência ou se o Google já removeu as extensões e/ou suspendeu as contas dos desenvolvedores. Essas informações não constam no material consultado e, portanto, não foram inferidas.
Riscos para empresas e profissionais de segurança
Extensões com acesso ao conteúdo de páginas web e às interações com aplicações de IA representam risco direto à confidencialidade. Para organizações que permitem que funcionários usem assistentes IA em ambiente de trabalho, a presença de extensões comprometidas no navegador pode resultar em vazamento de propriedade intelectual, credenciais ou dados pessoais sensíveis que transitam por prompts e respostas.
Medidas recomendadas
- Rever inventário de extensões aprovadas em navegadores utilizados em ambientes corporativos; bloquear instalações externas ao catálogo controlado por políticas de grupo.
- Remover imediatamente extensões suspeitas e instruir usuários a revogar permissões concedidas e limpar cookies/sessões relevantes.
- Auditar logs e fluxos de dados para identificar possíveis exfiltrações correlacionadas no período em que as extensões estavam instaladas.
- Para organizações que usam ferramentas de IA, revisar práticas de classificação de dados e evitar submeter informações sensíveis a serviços de terceiros sem controle adequado.
- Monitorar comunicados do Google/Chrome Web Store e das equipes de pesquisa que publicaram a descoberta para IOCs e remediações oficiais.
Implicações regulatórias
Do ponto de vista de proteção de dados, organizações que identificarem vazamento de informações pessoais via extensões de navegador devem avaliar requisitos de notificação conforme a legislação aplicável (por exemplo, LGPD no Brasil), dependendo da natureza e do volume dos dados comprometidos. A reportagem não traz indicação de vítimas identificadas por país.
Conclusão
O caso relatado pelo The Hacker News evidencia o risco persistente de software de terceiros distribuído em lojas oficiais. Embora a matéria informe o alcance estimado (mais de 900 mil instalações) e os alvos (conversas em ChatGPT e DeepSeek e dados de navegação), faltam detalhes técnicos sobre IOCs e ações de mitigação adotadas pelo Google; essas lacunas precisam ser preenchidas por pesquisas complementares ou comunicados oficiais.