مشكلة الإضافات غير المدققة
يحتوي متجر Chrome الإلكتروني على أكثر من 180,000 إضافة. العديد من هذه الإضافات — وخاصة تلك التي تضيف قدرات الذكاء الاصطناعي لتصفح الويب — تطلب أذونات واسعة: الوصول إلى كل محتوى المواقع، الوصول إلى الحافظة، الوصول إلى التخزين، واعتراض طلبات الشبكة.
وجدت أبحاث USENIX 2025 أن 83% من إضافات Chrome التي تتمتع بإذن واسع لم تخضع أبدًا لتدقيق أمني. تم إنشاء هذه الإضافات ونشرها وتثبيتها بواسطة ملايين المستخدمين دون أي تحقق مستقل من أنها تقوم بما تدعيه — ولا شيء أكثر.
فجوة التدقيق الأمني هي سمة هيكلية من كيفية توزيع إضافات المتصفح. يقوم متجر Chrome الإلكتروني بإجراء مسح آلي لتوقيعات البرمجيات الضارة وانتهاكات السياسات، لكن المسح الآلي لا يمكنه تقييم ما إذا كانت ممارسات جمع البيانات الخاصة بإضافة ما تم الكشف عنها بدقة، أو ما إذا كانت بيانات API تُنقل إلى أطراف ثالثة غير معلنة، أو ما إذا كانت الوظائف المعلنة للإضافة هي وظيفتها الكاملة.
تعرض المؤسسات
وجدت أبحاث Forrester 2024 أن 45% من موظفي المؤسسات يستخدمون إضافات متصفح غير معتمدة من قسم تكنولوجيا المعلومات. تعكس هذه النسبة الطريقة غير الرسمية التي يتم بها عادة اعتماد إضافات المتصفح: يجد الموظف أداة إنتاجية، ويقوم بتثبيتها، ويستخدمها — دون أي تفاعل مع قسم تكنولوجيا المعلومات.
يعني الجمع بين 83% غير المدققة و45% غير المعتمدة أن ما يقرب من نصف موظفي المؤسسات يستخدمون إضافات لم يتم التحقق من خصائصها الأمنية من قبل أي شخص — ولم يتم التصريح باستخدامها من قبل المنظمة المسؤولة عن البيانات التي يتعامل معها هؤلاء الموظفون.
بالنسبة للمنظمات في الصناعات الخاضعة للتنظيم، فإن هذا يخلق تعرضًا مباشرًا للامتثال. قد يكون موظف الموارد البشرية الذي يستخدم إضافة متصفح غير معتمدة تجمع محتوى الحافظة قد عرض بيانات الموظفين الشخصية لطرف ثالث غير مختبر. قد يكون المحترف القانوني الذي يستخدم مساعد كتابة ذكاء اصطناعي غير معتمد يصل إلى محتوى الصفحة قد عرض معلومات سرية للعميل.
ما يظهره حادثة الـ 900,000 مستخدم
توضح حادثة يناير 2026 التي تعرضت فيها إضافات Chrome الضارة لسجلات محادثات الذكاء الاصطناعي لـ 900,000 مستخدم — 600,000 من إضافة واحدة، و300,000 من أخرى — وضع الفشل الذي تصفه نسبة 83% غير المدققة.
بدت الإضافات وكأنها تقدم وظائف مشروعة تتعلق بالذكاء الاصطناعي. كانت متاحة في متجر Chrome الإلكتروني. كان لديها قواعد مستخدمين كبيرة بما يكفي لتشير إلى الشرعية. وكانت تقوم بنقل محتوى المحادثات الذكية إلى خوادم خارجية.
كان النقل كاملاً خلال 30 دقيقة من التثبيت. بحلول الوقت الذي حدد فيه الباحثون الأمنيون وأبلغوا عن الإضافات، كان محتوى محادثات 900,000 مستخدم — بما في ذلك أي معلومات حساسة ناقشها هؤلاء المستخدمون مع أدوات الذكاء الاصطناعي — قد غادر سيطرتهم.
وجدت أبحاث Caviard.ai (2025) أن 67% من إضافات Chrome للذكاء الاصطناعي تجمع بيانات المستخدمين — وهي الغالبية من فئة إضافات الذكاء الاصطناعي. من بين تلك التي تجمع البيانات، تختلف ممارسات الكشف والأمان ووجهات النقل بشكل كبير.
إطار حوكمة متصفح المؤسسات
بالنسبة لفرق أمان المؤسسات، فإن الاستجابة المناسبة لمشكلة الإضافات غير المدققة ليست حظر جميع إضافات المتصفح — فالتأثير التشغيلي لهذا النهج كبير. بل هي إنشاء إطار حوكمة يحد من التعرض للإضافات المدققة والمعتمدة لوظائف الذكاء الاصطناعي تحديدًا.
قائمة السماح بالإضافات: تحديد قائمة الإضافات المعتمدة لأجهزة المؤسسات. مراجعة فريق الأمان قبل الإضافة إلى القائمة. يمنع تطبيق سياسة Chrome Enterprise تثبيت الإضافات غير المدرجة في قائمة السماح.
تدقيق إضافات الذكاء الاصطناعي: الإضافات التي تعالج مطالبات الذكاء الاصطناعي تتلقى تدقيقًا إضافيًا — تحليل حركة الشبكة لتأكيد وجهات النقل، مراجعة نطاق الأذونات، والتحقق من هوية الناشر.
التحكم الفني لمحتوى الذكاء الاصطناعي: بالنسبة للموظفين الذين يستخدمون أدوات الذكاء الاصطناعي المعتمدة، تقوم ضوابط فنية على مستوى المتصفح (بدلاً من الاعتماد على سلوك الإضافة) باعتراض المحتوى الحساس قبل أن يصل إلى مزودي الذكاء الاصطناعي. هذا يفصل الالتزام الأمني عن الثقة في الإضافات الفردية.
نسبة 83% غير المدققة لا يمكن معالجتها من خلال تعليم المستخدمين — لا يمكن للمستخدمين تدقيق إضافات Chrome بأنفسهم. يمكن معالجتها من خلال حوكمة المؤسسات التي تفصل المعتمد عن غير المعتمد، ومن خلال ضوابط فنية توفر حماية البيانات بغض النظر عن سلوك الإضافة.
المصادر: