セキュリティ

ユーザーのネット環境の「余った帯域幅」をAI企業のクローラーに流用して収益化するライブラリが存在し245種のブラウザ拡張機能に組み込まれている


アプリ開発者の収益化を助けるとされるライブラリ「Mellowtel」が存在し、ユーザーネットワーク帯域幅をAI企業に提供して見返りとして金銭を得ていることが話題になっています。Mellowtelについてはプライバシー侵害やセキュリティリスクの懸念も浮上していますが、Mellowtelの開発者は疑惑を否定しています。

Mellow Drama: Turning Browsers Into Request Brokers | Secure Annex
https://secureannex.com/blog/mellow-drama/

Browser extensions turn nearly 1 million browsers into website-scraping bots - Ars Technica
https://arstechnica.com/security/2025/07/browser-extensions-turn-nearly-1-million-browsers-into-website-scraping-bots/

Mellowtelはオープンソースで開発されているライブラリで、「Mellowtelを組み込んだアプリ」のユーザーのネットワーク帯域幅のうち、余っている部分をAI企業の情報収集クローラー用に提供し、AI企業から見返りとして金銭を得て、そのうち55%をアプリ開発者に還元するという仕組みで収益化を支援しています。


このMellowtelをセキュリティ専門家のジョン・タックナー氏が分析した結果、ユーザーのネットワーク帯域幅をAI企業に提供するだけでなく、ユーザーの「位置情報」「利用可能な帯域幅」「ハートビート(システムの死活監視)」「ステータス」といったデータを収集していることが明らかになりました。


また、Mellowtelは「閲覧中のウェブページに不可視のiframeを埋め込み、特定のサーバーに接続する」という挙動をしていることも判明。これらの調査結果からタックナー氏はMellowtelにプライバシー侵害やセキュリティリスクの懸念があると主張しています。

タックナー氏が「Mellowtelが組み込まれたブラウザ拡張機能」を探索した結果、45件のChrome拡張機能、129件のEdge拡張機能、71件のFirefox拡張機能にMellowtelが組み込まれており、各拡張機能の総ダウンロード数が100万回近くに達することが明らかになりました。タックナー氏はMellowtelを採用している各拡張機能のリストを以下のリンク先で公開しています。

Extensions using Mellowtel - Google ドライブ
https://docs.google.com/spreadsheets/d/e/2PACX-1vT1XgBs25gRlg5e3nYCAff967WMtZZTO-TB3rR9zszaJpTpCVFg8j7FkBxnHb3tw3aHGjKBGSxYyLgV/pubhtml


タックナー氏がMellowtelに関する分析結果を公開した後、Mellowtelの開発者であるアルスラン・アリ氏は疑惑を否定するブログ記事を投稿しました。

Responding to ArsTechnica (Condé Naste) and 'Mellow-Drama' Articles - Mellowtel Blog
https://www.mellowtel.com/blog/responding-to-ars-technica-and-mellow-drama-article


アリ氏によると、位置情報は国レベルの大まかな位置情報だけを取得しており、取得したデータは完全に匿名化してユーザーとの紐づけを不可能にしているとのこと。また、Mellowtelはオプトイン形式の機能のみを提供しており、ユーザーが帯域幅の流用に同意しない限り同機能は有効化されないと主張しています。

Mellowtelはオープンソースで開発されており、ソースコードは以下のリンク先で公開されています。アリ氏は「Mellowtelを完全にオープンソースにすることで、開発者やセキュリティ専門家がコードを精査できるようにしたいと考えている」と述べています。

GitHub - mellowtel-inc/mellowtel-js: With Mellowtel, your users can share a fraction of their unused internet by using a transparent opt-in/out mechanism. Trusted partners access the internet through this network, and you get paid for it.
https://github.com/mellowtel-inc/mellowtel-js

この記事のタイトルとURLをコピーする

・関連記事
合計600万回インストールされたChrome拡張機能で「隠しトラッキングコード」が見つかる - GIGAZINE

VSCodeの一部拡張機能にファイルを暗号化して身代金を要求する悪意のある機能が仕込まれていたことが明らかに - GIGAZINE

Chromeウェブストアの拡張機能が原因でマルウェアに感染しているユーザーは数億人に上ることが判明 - GIGAZINE

画像生成ソフトウェア「ComfyUI」のノードにキーロガーが仕込まれていたことが発覚、クレジットカード情報やパスワードなど全ての入力が筒抜けに - GIGAZINE

VSCodeの偽拡張機能を作ったらダウンロードされまくり&悪意あるコードを簡単に仕込めるVSCode拡張機能システムの欠陥も明らかになったという報告 - GIGAZINE

ブラウザに音声ファイルを生成させることで個人を識別して追跡する「オーディオフィンガープリンティング」の仕組み - GIGAZINE

・関連コンテンツ

in ソフトウェア,   セキュリティ, Posted by log1o_hf

You can read the machine translated English article A library that diverts the 'excess bandw….