Проблемът с неодитираното разширение
Уеб магазинът на Chrome съдържа над 180 000 разширения. Много от тези разширения – особено тези, които добавят AI възможности към сърфирането в мрежата – изискват широки разрешения: достъп до цялото съдържание на уебсайта, достъп до клипборда, достъп до съхранение и прихващане на мрежови заявки.
Проучване USENIX 2025 установи, че 83% от разширенията на Chrome с широки разрешения никога не са били подлагани на проверка на сигурността. Тези разширения са създадени, публикувани и инсталирани от милиони потребители без никаква независима проверка дали правят това, което твърдят - и нищо повече.
Пропускът в одита на сигурността е структурна характеристика на това как се разпространяват разширенията на браузъра. Уеб магазинът на Chrome извършва автоматизирано сканиране за сигнатури на злонамерен софтуер и нарушения на правилата, но автоматизираното сканиране не може да прецени дали практиките за събиране на данни на дадено разширение са разкрити точно, дали API данните се предават на неразкрити трети страни или дали заявената функционалност на разширението е пълната му функционалност.
Излагането на предприятието
Forrester Research 2024 установи, че 45% от корпоративните служители използват разширения на браузъра, които не са одобрени от ИТ. Фигурата отразява неформалния начин, по който обикновено се възприемат разширенията на браузъра: служител намира инструмент за производителност, инсталира го и го използва – без никакво взаимодействие с ИТ отдела.
Комбинацията от 83% никога не са били одитирани и 45% неодобрени означава, че почти половината от корпоративните служители използват разширения, чиито характеристики за сигурност не са проверени от никого — и чиято употреба не е санкционирана от организацията, която отговаря за данните, с които тези служители работят.
За организации в регулирани индустрии това създава пряко излагане на съответствие. Служител по човешки ресурси, използващ неодобрено разширение на браузъра, което събира съдържание от клипборда, потенциално е изложил личните данни на служителя на непроверена трета страна. Юрист, използващ неодобрен помощник за писане с изкуствен интелект, който има достъп до съдържанието на страницата, потенциално е разкрил поверителна информация на клиента.
Какво демонстрира инцидентът с 900 хиляди потребители
Инцидентът от януари 2026 г., при който злонамерени разширения на Chrome разкриха историите на чатове с изкуствен интелект на 900 000 потребители — 600 000 от едно разширение, 300 000 от друго — илюстрира режима на неуспех, който описва неодитираната цифра от 83%.
Изглежда, че разширенията предоставят легитимна функционалност, свързана с AI. Те бяха налични в уеб магазина на Chrome. Те имаха достатъчно големи потребителски бази, за да предполагат легитимност. И те ексфилтрираха съдържанието на AI разговори към външни сървъри.
Ексфилтрацията беше завършена в рамките на 30 минути след инсталирането. По времето, когато изследователите по сигурността са идентифицирали и докладвали разширенията, съдържанието на разговорите на 900 000 потребители – включително каквато и да е чувствителна информация, която тези потребители са обсъждали с AI инструменти – е излязло от техния контрол.
Изследване от Caviard.ai (2025 г.) установи, че 67% от AI разширенията на Chrome събират потребителски данни — по-голямата част от категорията AI разширения. При тези, които събират данни, разкриването, практиките за сигурност и дестинациите за предаване се различават значително.
Корпоративната рамка за управление на браузъра
За екипите за корпоративна сигурност, подходящият отговор на проблема с непроверените разширения не е да се забранят всички разширения на браузъра — оперативното въздействие на този подход е значително. Целта е да се създаде рамка за управление, която ограничава излагането на одитирани, одобрени разширения конкретно за функционалността на AI.
Списък с разрешени разширения: Дефинирайте одобрения списък с разширения на браузъра за корпоративни устройства. Преглед на екипа по сигурността преди добавяне към списъка. Прилагането на правилата на Chrome Enterprise предотвратява инсталирането на разширения, които не са в списъка с разрешени.
Проверка на специфични за AI разширения: Разширенията, които обработват подкани за AI, получават допълнителна проверка — анализ на мрежовия трафик за потвърждаване на дестинациите за предаване, преглед на обхвата на разрешенията и проверка на самоличността на издателя.
Технически контрол за AI съдържание: За служители, използващи AI инструменти, които са одобрени, техническите контроли на ниво браузър (вместо да разчитат на поведението на разширението) прихващат чувствително съдържание, преди то да достигне доставчиците на AI. Това отделя задължението за сигурност от доверието в отделните разширения.
Неодитираният процент от 83% не може да бъде адресиран чрез обучение на потребителите — потребителите не могат сами да проверяват разширенията на Chrome. Той може да бъде адресиран чрез корпоративно управление, което разделя одобрените от неодобрените, и чрез технически контроли, които осигуряват защита на данните, независимо от поведението на разширението.
Източници:
- [USENIX Сигурност 2025: „Нямам представа как да го направя по-безопасен“ — Нагласи за сигурността на разработчиците на разширения за браузър] (https://www.usenix.org/conference/usenixsecurity25/presentation/agarwal-shubham)
- [LayerX 2025: Доклад за сигурността на разширението на корпоративния браузър — широко разпространено неодобрено използване на разширение] (https://go.layerxsecurity.com/enterprise-genai-security-report-2025)
- [Incogni 2025: 67% от AI разширенията на Chrome събират потребителски данни] (https://blog.incogni.com/ranking-ai-powered-chrome-extensions-by-privacy-risk-in-2025/)