Инцидентът от януари 2026 г
През януари 2026 г. изследователи по сигурността откриха две злонамерени разширения на Chrome, които са компрометирали 900 000+ потребители.
Имената на разширенията бяха умишлено избрани да се показват като легитимни инструменти за подобряване на AI:
- "Чат GPT за Chrome с GPT-5, Claude Sonnet & DeepSeek AI" — 600 000+ потребители
- "AI Sidebar с Deepseek, ChatGPT, Claude и други" — 300 000+ потребители
И двете разширения правеха едно и също нещо: прехвърляне на пълни ChatGPT и DeepSeek разговори на всеки 30 минути към отдалечен командно-контролен сървър.
Изтичащите данни включват изходен код, лична информация, обсъждани правни въпроси, бизнес стратегии и финансови данни. Всичко, което потребителите са въвели в своите AI чат сесии – всичко, което смятат за лично – се предава на неизвестни страни.
Как разширенията заобикалят сигналите за доверие
Разширенията поискаха разрешение за „събиране на анонимни, неидентифицирани аналитични данни“ — език, изчислен да изглежда безвреден по време на прегледа на разрешенията.
В действителност те уловиха пълното съдържание на AI разговорите. Разрешението за анализ беше превозното средство; ексфилтрацията на AI разговор беше полезният товар.
Тази техника — използване на безобидно звучащи разрешения, за да се даде възможност за събиране на вредни данни — представлява оперативната игра, която направи категорията заплахи за разширението на Chrome толкова устойчива. Потребителите, които никога не биха кликнали върху фишинг връзка, са инсталирали тези разширения умишлено от уеб магазина на Chrome, тъй като те изглежда предлагат предимства за производителността на AI.
По-широкият модел: 67% от AI разширенията събират вашите данни
Инцидентът от януари 2026 г. не беше нещо извънредно. Проучване на Incogni установи, че 67% от AI разширенията на Chrome активно събират потребителски данни — цифра, потвърдена от множество независими анализи на екосистемата на разширенията.
Това е основният парадокс на пазара на разширения за поверителност на AI: разширенията, които потребителите инсталират специално, за да защитят своята поверителност на AI, в повечето случаи събират същите тези данни.
Пазарът създаде категория – AI инструменти за поверителност за браузъри – но не създаде надеждни механизми за потребителите, за да проверят дали дадено разширение действително осигурява поверителност или просто твърди. Резултатът: пазар, където инструментът, инсталиран за защита, сам по себе си е векторът на атаката.
Архитектурата, която разграничава безопасното от опасното
Инцидентът от януари 2026 г. илюстрира специфично техническо разграничение, което потребителите трябва да разберат, когато оценяват всяко разширение на Chrome, свързано с AI.
Несигурна архитектура — маршрутизиране през сървърите на разширението:
- Потребителят въвежда ChatGPT
- Разширението прихваща текста
- Разширението предава текст към собствения си бекенд сървър за "обработка"
- Бекенд сървърът връща обработен текст
- Разширението се подчинява на ChatGPT
В тази архитектура всяка подкана преминава през инфраструктурата на разработчика на разширението. Разработчикът на разширението има пълен достъп до съдържанието на разговора. Ако разширението е злонамерено (или по-късно е придобито от злонамерен актьор, или е нарушено), цялото това съдържание е изложено.
Сигурна архитектура — само локална обработка:
- Потребителят въвежда ChatGPT
- Разширението прихваща текста
- Разширението обработва текста локално в браузъра (използвайки същото време за изпълнение на JavaScript, което захранва разширението)
- Обработеният текст се предава директно на ChatGPT
В тази архитектура нищо не напуска браузъра на потребителя, освен окончателно обработения текст, изпратен на услугата AI. Инфраструктурата на разработчика на разширението никога не е в пътя на данните.
Въпросът, който трябва да зададете на всяко разширение за поверителност на AI: къде се извършва обработката? Ако отговорът включва собствените сървъри на разширението, вашите данни преминават през трета страна.
Пет въпроса, които трябва да зададете, преди да инсталирате разширение за поверителност на AI
Като се има предвид, че 67% от AI разширенията на Chrome събират потребителски данни (изследване на Incogni) и като се има предвид, че злонамерените разширения могат да се появят в уеб магазина на Chrome със стотици хиляди потребители, рамката за оценка е от значение.
1. Къде се обработва откриването на PII? Попитайте директно или намерете в политиката за поверителност: откриването на PII извършва ли се локално в браузъра или текстът се изпраща до сървърите на сървъра на разширението за анализ? Локалната обработка означава, че разработчикът на разширението никога не вижда вашия текст.
2. Какво се случва със съдържанието на разговора? Разширенията, които „защитават“ чрез маршрутизиране през собствените си прокси сървъри, имат пълен достъп до всичко, което въвеждате. Разширенията, които променят текста локално и го изпращат директно към услугата AI, не го правят.
3. Кой е потвърденият издател? Системата за проверка на издатели в уеб магазина на Chrome е несъвършена — разширенията от януари 2026 г. преминаха — но проверен издател с установена самоличност и бизнес модел, независим от събирането на данни, е по-надежден от анонимен издател с безплатно разширение и без явен модел на приходи.
4. Има ли независим сертификат за сигурност? Сертифицирането по ISO 27001 обхваща системата за управление на информационната сигурност на доставчика, включително техните практики за разработка и разпространение на разширения. Независимите одити на сигурността осигуряват външна проверка на направените твърдения.
5. Какъв е бизнес моделът? Най-трайният сигнал: как този разработчик на безплатни разширения прави пари? Ако няма очевиден модел на приходите, потребителските данни вероятно са продуктът. Разширение, което е част от платен SaaS продукт с проверим бизнес модел, има по-малък стимул да монетизира скрито потребителски данни.
Какво разкрива инцидентът от януари 2026 г. за AI сигурността
900 000+ компрометирани потребители през януари 2026 г. не бяха несложни. Те бяха професионалисти, които бяха потърсили инструменти за производителност на AI, които искаха защита на поверителността за техните взаимодействия с AI и които инсталираха това, което изглеждаше легитимно инструменти от уеб магазина на Chrome.
Атаката проработи, защото:
Разширенията предлагаха истинска функционалност: Те не бяха чисто злонамерени — те предоставяха функции, свързани с AI, заедно с ексфилтрацията. Това ги прави функционално неразличими от законните инструменти по време на случайна употреба.
Произведени са сигнали за доверие: Стотици хиляди потребители създават социално доказателство. Потребителите, които са видели 600 000 инсталации, са по-склонни да инсталират, не по-малко.
Искането за разрешение е създадено, за да не предизвиква безпокойство: „Анонимен, неидентифицируем анализ“ е точно видът език за разрешение, който потребителите одобряват без проверка.
Ексфилтрацията беше планирана, за да се сведе до минимум откриването: 30-минутните интервали са достатъчно чести, за да уловят всички разговори, но достатъчно редки, за да се избегне задействането на мониторинг на сигурността, базиран на аномалии.
Доверителната рамка след инцидент
След инцидента от януари 2026 г. корпоративните ИТ екипи, които оценяват разширенията за поверителност на AI за внедряване в тяхната работна сила, трябва да прилагат по-строга рамка за доверие от съществуващата преди.
Минималните необходими елементи:
- Локална архитектура за обработка — потвърдена от технически преглед или независим одит, а не само заявена в маркетинга
- Проверка на самоличността на издателя — установена компания с проверим бизнес модел и история
- Независим сертификат за сигурност — ISO 27001 или еквивалентен
- Политика за поверителност, която конкретно се отнася до потоците от данни за разширенията — включително какво се събира, къде се изпраща и при какви обстоятелства
- Без маршрутизиране през сървърите на разработчиците на разширения за основната функционалност за поверителност
Организациите, които внедряват AI разширения на стотици или хиляди служители, също трябва да вземат предвид:
- Редовни одити на инсталирани разширения за поведение при ексфилтрация на данни
- Мрежово наблюдение за откриване на неочаквани външни връзки от процеси на браузъра – Списъци с разрешени одобрени разширения, внедрени чрез правилата на Chrome Enterprise
Инцидентът от януари 2026 г. беше предупреждение. Степента на събиране на данни от 67% в разширенията на AI предполага, че предупреждението е оправдано.
Разширението за Chrome на anonym.legal обработва откриването на PII локално — съдържанието на разговор не се предава на сървърите на anonym.legal по време на откриването на PII. Анонимизирането се извършва в браузъра, преди модифицираната подкана да бъде изпратена на услугата AI. Публикувано от anonym.legal, сертифицирано по ISO 27001.
Източници: – [Хакерските новини: Две разширения за Chrome хванати в кражба на ChatGPT и DeepSeek разговори] (https://thehackernews.com/2026/01/two-chrome-extensions-caught-stealing.html)
- [Сигурност на OX: Злонамерени AI разширения на Chrome крадат ChatGPT/DeepSeek разговори] (https://www.ox.security/blog/malicious-chrome-extensions-steal-chatgpt-deepseek-conversations/)
- [Incogni: Класиране на разширения за Chrome, захранвани от AI, по риск за поверителността] (https://blog.incogni.com/ranking-ai-powered-chrome-extensions-by-privacy-risk-in-2025/)
- [Caviard.ai: Най-добрите разширения за поверителност на Chrome за AI асистенти] (https://www.caviard.ai/blog/5-best-privacy-chrome-extensions-for-ai-assistants-in-2024-2025)