2025년 8월에 발표된 USENIX 보안 심포지엄 연구에 따르면 인기 있는 AI 브라우저 확장 프로그램은 의료 기록, 은행 정보, 주민등록번호, 소셜 미디어 활동을 포함한 민감한 사용자 데이터를 수집하는 것으로 나타났습니다. University College London, Mediterranea University of Reggio Calabria, University of California, Davis의 연구원들이 분석을 수행했습니다. 연구 결과는 2025년 도입된 이후 주목을 받은 AI 지원 웹 브라우저의 개인 정보 보호 위험을 강조했습니다. OpenAI의 Atlas 및 Perplexity의 Comet과 같은 AI 지원 브라우저는 웹 사이트 요약, 세련된 검색, 챗봇, 자율 작업 실행과 같은 기능을 제공합니다. 이러한 도구는 전 세계 시장의 70%를 점유하고 있는 Google Chrome, Safari, Edge 및 Firefox를 비롯한 기존 브라우저에 도전합니다. 다른 참가자로는 Opera Neon, Dai 및 ChatGPT 통합이 있습니다. McKinsey & Company는 브라우저 산업이 2028년까지 7,500억 달러의 수익을 창출할 것으로 예측합니다. AI 브라우저는 열린 웹페이지를 분석하는 영구 챗봇과 양식 작성, Amazon 쇼핑 또는 에세이 편집과 같은 작업을 처리하는 에이전트 모드를 통해 작동합니다. 사용자 지시 없이 이전 요청, 검색 기록 및 상호 작용과 함께 웹페이지 콘텐츠를 처리합니다. 브라우저 확장은 OpenAI의 ChatGPT, Google의 Gemini, Meta의 Llama와 같은 모델의 인터페이스 역할을 합니다. 확장 프로그램은 백그라운드 서비스 워커를 통해 웹페이지에 콘텐츠 스크립트를 삽입하여 자율적인 데이터 스크래핑을 가능하게 합니다. 이는 사용자가 입력한 데이터만 처리하는 웹 기반 챗봇과 다릅니다. USENIX 연구는 Atlas 및 Comet과 같은 리더들이 완료 후 출시됨에 따라 전체 브라우저보다는 브라우저 확장에 중점을 두었습니다. 검사된 확장에는 Google, Sider, Monica, Merlin, MaxAI, Perplexity, HARPA, TinaMind 및 Microsoft Copilot용 ChatGPT가 포함되었습니다. 연구자들은 뉴스 읽기, YouTube 비디오 보기, 포르노 보기, 세금 양식 작성 등 비공개 및 공개 상황에서 탐색을 시뮬레이션했습니다. 확장 프로그램은 의료 진단, 주민등록번호, 데이트 앱 기본 설정 등의 이미지와 텍스트를 캡처했습니다. Merlin은 은행 정보와 건강 기록을 전송했습니다. Merlin과 Sider AI는 비공개 브라우징 모드에서도 활동을 기록했습니다. 암호 해독 후 트래픽 분석 결과 회사 서버 및 타사 추적기로 전송되는 것으로 나타났습니다. Sider와 TinaMind는 사용자 메시지와 IP 주소를 Google Analytics와 공유하여 교차 사이트 추적을 용이하게 했습니다. Microsoft의 Copilot은 브라우저 저장소의 세션 전반에 걸쳐 채팅 기록을 유지했습니다. Google, Copilot, Monica, ChatGPT 및 Sider는 여러 세션에 걸쳐 개인화된 응답을 위해 연령, 성별, 소득 및 관심 분야별로 사용자 프로파일을 작성했습니다. Perplexity는 테스트된 도구 중에서 개인 정보를 가장 존중하는 도구로 나타났습니다. 이전 상호 작용을 기억하지 않으며 서버는 사적인 공간의 개인 데이터를 피합니다. Perplexity는 여전히 페이지 제목과 사용자 위치를 처리합니다. OpenAI는 연구 후 Atlas를 출시했습니다. OpenAI에 따르면 Atlas는 콘텐츠를 선택적으로 분석하지만 모든 웹사이트 이미지와 텍스트를 처리합니다. 선택적 메모리 기능은 검색 기록 요소를 저장하여 경험을 맞춤화합니다. 사용자는 브라우저가 검색하는 사이트 측면을 지정할 수 없습니다. OpenAI의 도움말 페이지에서는 채팅 창에서 페이지를 제거하거나, 민감한 URL을 차단하거나, 기록을 삭제하여 노출을 제한하도록 조언합니다. Atlas에는 두 가지 데이터 관련 설정이 포함되어 있습니다. “모든 사람을 위한 모델 개선”은 기본적으로 활성화되며 OpenAI가 ChatGPT 교육을 위해 챗봇 쿼리의 웹페이지 데이터를 사용할 수 있도록 허용합니다. “웹 검색 포함”은 전체 검색 기록을 교육에 통합합니다. OpenAI는 교육을 사용하기 전에 데이터를 익명화하지만 경계에 대한 구체적인 내용은 여전히 ​​제한되어 있습니다. 사용자는 두 설정을 모두 비활성화할 수 있습니다. Perplexity의 Comet은 검색 기록을 서버가 아닌 사용자 장치에 로컬로 저장합니다. 핵심 기능을 위해 URL, 텍스트, 이미지, 검색어, 다운로드 기록 및 쿠키에 액세스합니다. Comet의 에이전트 모드와 메모리 도구는 검색 기록과 기본 설정을 분석합니다. 브라우저는 타사 통합을 선택하여 이메일, 연락처, 설정 및 캘린더를 포함하는 Google 계정 액세스를 요청합니다. Perplexity의 설명 페이지에서는 데이터 설정을 자세히 설명합니다. 전문가들은 챗봇 사이드바를 민감하지 않은 페이지로 제한할 것을 권장합니다. AI 회사는 명시적인 동의 없이 대규모 언어 모델 교육을 위해 저장된 사용자 데이터를 재사용하는 경우가 많습니다. 이러한 관행은 불투명한 계약과 기본 선택을 통해 AI를 넘어 소셜 미디어, 소매업체, 검색 엔진 및 메시징 서비스로 확장됩니다. 브라우저는 다른 플랫폼보다 더 민감한 정보에 액세스합니다. OpenAI는 2025년 상반기에 105건의 미국 정부 데이터 요청을 이행했습니다. 보안 취약성은 개인 정보 보호 문제를 더욱 악화시킵니다. 프롬프트 삽입 공격을 통해 해커는 합법적인 입력과 구별할 수 없는 악성 콘텐츠를 브라우저 백엔드에 삽입할 수 있습니다. 이를 통해 자격 증명, 은행 정보 및 개인 데이터를 피싱하고 도용할 수 있습니다. 2025년 10월의 Brave 연구에서는 신속한 주입이 AI 브라우저의 시스템적 문제로 인해 피싱 위험이 증가한다고 설명했습니다. LayerX Security는 Perplexity를 보고했습니다. Comet 사용자는 Chrome 사용자에 비해 이러한 공격에 대한 취약성이 85% 더 높습니다. OpenAI 최고 정보 책임자인 Dane Stuckey는 X에 대해 신속한 주입이 “아직 미해결 보안 문제로 남아있다”고 말했습니다. Perplexity의 블로그에서는 AI 기업이 “보안을 처음부터 다시 생각해 볼 것”을 촉구했습니다. USENIX 연구원들은 데이터 캡처를 측정하기 위해 통제된 시나리오에서 확장 기능을 테스트했습니다. 뉴스 검색 시 확장 프로그램은 기사 텍스트와 이미지를 기록했습니다. YouTube 세션으로 인해 비디오 썸네일 캡처 및 댓글 스크랩이 발생했습니다. 음란물 사이트는 이미지 및 선호도 기록으로 이어졌습니다. 세금 양식 시뮬레이션에서는 사회보장번호와 재무 세부정보가 노출되었습니다. 멀린(Merlin)의 복호화된 트래픽에서는 당뇨병 관리 메모와 같은 진단, 계좌 번호가 포함된 은행 로그인을 포함한 건강 기록의 일반 텍스트 전송이 나타났습니다. Sider AI의 패킷에는 개인 식별자가 포함된 프롬프트와 쌍을 이루는 IP 주소가 포함되어 있습니다. TinaMind는 유사한 데이터를 Google Analytics 엔드포인트로 라우팅했습니다. Copilot의 로컬 스토리지에는 이전 사이트의 소득 세부정보와 연결된 재무 계획에 대한 쿼리를 포함하여 대화 로그가 보관되었습니다. 프로파일링 사례에는 쇼핑 사이트에서 사용자 성별을 추론하고 뉴스 기본 설정에서 연령을 추론하여 이를 광고와 유사한 추천에 적용하는 Sider가 포함됩니다. Perplexity의 제한으로 인해 세션 간 메모리가 차단되어 프로파일링이 차단되었습니다. 서버 로그에는 비공개 탭의 콘텐츠 페이로드 없이 페이지 제목(“로그인 – Bank of America”) 및 지리적 위치 좌표와 같은 메타데이터만 포함되어 있었습니다. Atlas 문서는 모든 탭에서 이미지 OCR 및 텍스트 추출을 확인합니다. 메모리 스냅샷에는 URL 목록과 “전자제품이 담긴 Amazon 장바구니 방문”과 같은 요약 내역이 포함됩니다. 훈련 옵트인은 OpenAI 공개에 따라 익명화 파이프라인, IP 해싱 및 세션 집계를 통해 데이터를 처리합니다. Comet의 로컬 스토리지는 기록을 위해 IndexedDB를 사용하고 선택적으로 Perplexity 계정과 동기화합니다. Google 통합에는 Gmail 및 캘린더에 대한 읽기/쓰기 액세스를 위한 OAuth 범위가 필요합니다. Zapier와 같은 타사 도구는 API 키를 통해 연결됩니다. OpenAI에 대한 정부 요청은 6,000개의 사용자 계정에 대한 위협 조사 및 국가 보안 영장에 대한 소환장을 포함합니다. 규정 준수 로그 세부 데이터 유형: 채팅, 파일, IP 추적. Brave의 10월 분석에서는 여러 브라우저에서 500번의 주입 시도를 시뮬레이션했습니다. AI 모델은 악성 프롬프트의 72%를 실행한 반면 기존 브라우저에서는 4%를 실행했습니다. LayerX는 1,200명의 사용자를 테스트했습니다. Comet 세션에서는 시간당 2.1개의 익스플로잇, Chrome 1.1이 생성되었습니다. 확장 주입 메커니즘은 Manifest V3 서비스 작업자를 사용하여 광범위한 탭 권한을 부여합니다. 자율성은 모든 URL을 일치시키고 DOM 트리를 LLM으로 연결하는 “content_scripts”에서 비롯됩니다. 시장 상황에 따르면 2025년 말 현재 StatCounter 데이터에서 Chrome의 점유율은 70%입니다. 유사웹(SimilarWeb)에 따르면 AI 브라우저는 합쳐서 12%를 캡처했습니다. Firefox AI 통합으로 점유율이 8%로 높아졌습니다.

  TikTok 애니메이션 필터를 사용하는 방법?

Source: 주요 USENIX 연구에서 AI 브라우저 확장 프로그램이 데이터를 훔치고 있다는 사실이 밝혀졌습니다.