Инцидентът от януари 2026 г
Две разширения на Chrome, открити през януари 2026 г. — „Chat GPT за Chrome с GPT-5, Claude Sonnet и DeepSeek AI“ (600 000+ потребители) и „AI Sidebar с Deepseek, ChatGPT, Claude и други“ (300 000+ потребители) — бяха установени като ексфилтриране на пълна хронология на AI разговори на всеки 30 минути към отдалечен командно-контролен сървър.
Разширенията се представиха като инструменти за подобряване на поверителността и AI. Техните описания в уеб магазина на Chrome наблягаха на защитата на потребителските данни и дизайна, който поставя на първо място поверителността. Тяхното действително поведение — потвърдено от анализа на Astrix Security — беше да заснемат пълни истории на разговори от ChatGPT, DeepSeek и други платформи с изкуствен интелект, след което да ги предадат на сървър, контролиран от нападател. Заснетите разговори включват изходен код, лична информация, правни стратегически дискусии, бизнес планове и финансови данни.
Разширенията поискаха разрешение за „събиране на анонимни аналитични данни, които не могат да бъдат идентифицирани“. Те всъщност събраха напълно разпознаваеми, изключително чувствителни данни с максимална прецизност.
Проблемът с инверсията на сигурността
Потребителите, които специално инсталират разширения за поверителност на AI, изразяват предпочитание към инструменти, които защитават техните AI разговори. Инцидентът от януари 2026 г. документира най-лошия резултат от това предпочитание: инструментът, инсталиран за целите на поверителността, сам по себе си е механизмът за ексфилтриране на данни.
Това не е просто риск, който трябва да бъде претеглен - това е документиран резултат, засягащ 900 000 потребители едновременно. Автоматичното сканиране на уеб магазина на Chrome не откри злонамереното поведение, тъй като събирането на данни от разширенията беше маскирано като анализи. Потребителските прегледи не разкриха проблема, тъй като потребителите нямаха видимост за мрежовия трафик.
Проучването на Incogni установи, че 67% от AI разширенията на Chrome активно събират потребителски данни – число, което включва както разкрито събиране на анализи, така и неразкрито ексфилтриране. Смисленият въпрос за корпоративните ИТ екипи, внедряващи разширения за поверителност на AI, не е „това разширение събира ли някакви данни?“ но "мога ли да проверя дали потокът от данни на това разширение е архитектурно неспособен да ексфилтрира съдържанието на разговор?"
Тестът за проверка на архитектурата
Тестът за проверка за надеждна локална обработка е технически, а не декларативен: може ли заявената локална обработка на разширението да бъде независимо проверена чрез наблюдение на мрежата?
Разширение, което обработва откриването на PII локално – изпълнявайки модела за откриване от страна на клиента с помощта на TensorFlow.js, WASM или локален двоичен файл – произвежда нулев изходящ мрежов трафик по време на фазата на откриване на PII. Мониторингът на мрежата на работната станция на потребителя не трябва да показва връзка с външен сървър между събитието за поставяне на потребителя и подаването на AI платформата. Единственият изходящ трафик трябва да бъде анонимизираната подкана към доставчика на AI.
Разширение, което насочва трафика през прокси сървър – дори ако проксито е описано като „реле за запазване на поверителността“ – изпраща потребителско съдържание към сървър на трета страна. Сигурността на оператора на проксито вече е част от модела на заплахите на потребителя.
За корпоративни ИТ екипи, които добавят разширения на браузъра към корпоративния одобрен списък, протоколът за проверка е: разположете разширението в наблюдавана мрежова среда, генерирайте представителен тестов трафик и проверете дали няма изходяща връзка към сървърите на издателя на разширението по време на обработката на PII. Разширения, които не могат да преминат този тест, не трябва да бъдат одобрени за корпоративно внедряване, независимо от техните заявени ангажименти за поверителност.
Архитектурата за локална обработка — където цялото откриване се изпълнява от страна на клиента без компонент от страна на сървъра за стъпката на анонимизиране — е архитектурното свойство, което прави твърденията за поверителност на разширението независимо проверими, вместо да изисква доверие в твърденията на издателя.
Източници:
- [Astrix Security 2026: 900K потребители, компрометирани от злонамерени AI Chrome разширения] (https://astrix.security/learn/blog/900k-users-compromised-malicious-ai-chrome-extensions)
- [Malwarebytes 2025: Разширението за Chrome измъква AI чатове] (https://www.malwarebytes.com/blog/news/2025/12/chrome-extension-slurps-up-ai-chats)
- [Incogni: Класиране на разширения за Chrome, захранвани от AI, по риск за поверителността] (https://blog.incogni.com/ranking-ai-powered-chrome-extensions-by-privacy-risk-in-2025/)