เหตุการณ์มกราคม 2026
ส่วนขยาย Chrome สองตัวที่พบในเดือนมกราคม 2026 ได้แก่ "Chat GPT for Chrome with GPT-5, Claude Sonnet and DeepSeek AI" (ผู้ใช้กว่า 600,000 คน) และ "AI Sidebar with Deepseek, ChatGPT, Claude and more" (ผู้ใช้กว่า 300,000 คน) ถูกพบว่ากำลังดูดข้อมูลประวัติสนทนา AI ทั้งหมดทุก 30 นาทีไปยังเซิร์ฟเวอร์ command-and-control ระยะไกล
ส่วนขยายเหล่านี้นำเสนอตัวเองเป็นเครื่องมือความเป็นส่วนตัวและการเสริม AI คำอธิบายใน Chrome Web Store เน้นย้ำการปกป้องข้อมูลผู้ใช้ แต่ในขณะเดียวกันก็กำลังดูดข้อมูล PII ทั้งหมดในประวัติสนทนาอยู่ในพื้นหลัง
เกณฑ์การตรวจสอบ: ส่วนขยายความเป็นส่วนตัว AI ที่ปลอดภัย
ตรวจสอบสิทธิ์ที่ขอ:
- ส่วนขยายความเป็นส่วนตัวที่ถูกต้องต้องการสิทธิ์จำนวนน้อยที่สุด
- ธงสีแดง: สิทธิ์
tabs,webNavigation,webRequest,storage,cookiesในชุดเดียวกัน - ธงสีแดงอีกชุด: การเข้าถึงโฮสต์กว้าง (
<all_urls>หรือ*://*/*) โดยไม่มีเหตุผลที่ชัดเจน
ตรวจสอบนโยบายความเป็นส่วนตัว:
- นโยบายความเป็นส่วนตัวต้องระบุอย่างชัดเจนว่าข้อมูลอะไรถูกประมวลผล ที่ไหน และนานเท่าใด
- ธงสีแดง: นโยบายความเป็นส่วนตัวทั่วไป ไม่ระบุชนิดข้อมูล
- ธงสีแดง: นโยบายที่อนุญาตการแชร์ข้อมูลกับ "พันธมิตร" โดยไม่ระบุชื่อ
ตรวจสอบการประมวลผลในเครื่อง:
- ส่วนขยายความเป็นส่วนตัว AI ที่ปลอดภัยควรประมวลผล PII ในเครื่องโดยไม่ส่งข้อมูลสนทนาไปยังเซิร์ฟเวอร์ภายนอก
- ตรวจสอบการรับส่งเครือข่าย: เปิด DevTools → Network → ดูว่า extension IDs กำลังส่ง requests ไปที่ไหน
ลักษณะของ anonym.legal Chrome Extension
- ประมวลผล PII ในเครื่องก่อนส่งไปยัง ChatGPT, DeepSeek, Perplexity, หรือ Gemini
- ไม่จัดเก็บประวัติสนทนา ไม่บันทึก PII ที่ตรวจพบ ไม่ส่งข้อมูลไปยังเซิร์ฟเวอร์บุคคลที่สาม
- เปิดซอร์สโค้ดส่วนที่เกี่ยวข้องเพื่อการตรวจสอบ
- Manifest V3 — ไม่ใช้ background scripts ที่เข้าถึงข้อมูลสนทนาในพื้นหลัง
หลังเหตุการณ์: กระบวนการตรวจสอบ Chrome Web Store
Google ลบส่วนขยายทั้งสองออกภายใน 72 ชั่วโมงหลังการรายงาน แต่ข้อมูลที่ถูกดูดไปแล้วไม่สามารถกู้คืนได้ เหตุการณ์นี้ชี้ให้เห็นช่องว่างในกระบวนการตรวจสอบ Chrome Web Store: ส่วนขยายสามารถผ่านการตรวจสอบเริ่มต้นแต่เพิ่มพฤติกรรมอันตรายในการอัปเดตภายหลัง
แหล่งที่มา: