Actualitzat per al 2026
La majoria d'extensions d'IA mai no s'auditen
La Chrome Web Store allotja mes de 180.000 extensions de navegador. Moltes, principalment eines d'IA, demanen un acces ampli. Llegeixen cada pagina que visiteu. Veuen el vostre porta-retalls. Poden bloquejar o alterar les sol·licituds de xarxa.
USENIX Security 2025 va constatar que el 83% de les extensions de Chrome amb permisos amplis mai no han estat auditades. Els desenvolupadors les van crear, les van publicar, i els usuaris les van instal·lar per milions. Ningu va comprovar si cada eina fa nomes el que diu.
Aquesta bretxa es estructural. La Chrome Web Store escaneja el programari malicious conegut. Comprova les regles de politica. No pot confirmar si la recopilacio de dades esta completament revelada. No pot detectar si les dades flueixen cap a tercers ocults.
La meitat dels treballadors d'empreses utilitzen eines no aprovades
L'Informe de seguretat de navegadors empresarials de LayerX 2025 va constatar que el 45% dels empleats d'empreses utilitzen extensions de navegador que informatica mai no va aprovar. El patro es habitual. Un empleat troba una eina util. La instal·la. Informatica mai no s'assabenta.
Combineu el 83% no auditat amb el 45% no aprovat. Gairebe la meitat dels empleats d'empreses poden estar executant eines la seguretat de les quals mai no s'ha comprovat. Aquests empleats gestionen dades sensibles de l'empresa cada dia.
Per als sectors regulats, el risc es directe. Un empleat de RRHH que utilitza una eina no verificada que llegeix el contingut del porta-retalls pot haver enviat dades personals a un tercer desconegut. Un advocat que utilitza una eina d'escriptura amb IA no verificada pot haver enviat dades del client a una part desconeguda. Consulteu la nostra guia de compliment juridic per veure com aquests riscos s'apliquen al RGPD, HIPAA i marcs relacionats.
Que mostra l'incident dels 900.000 usuaris
Un incident reportat a principis de 2026 mostra el mode de fallada. Unes extensions de Chrome malicioses van exposar els registres de xat d'IA d'un estimat de 900.000 usuaris. Al voltant de 600.000 provenien d'una eina. Al voltant de 300.000 provenien d'una altra. Totes dues semblaven oferir funcions d'IA reals. Totes dues estaven llistades a la Chrome Web Store. Totes dues tenien bases d'usuaris grans.
El robatori de dades va ser complet en 30 minuts despres de la instal·lacio. Quan els investigadors van trobar les eines, gairebe un milio d'usuaris ja havia perdut el control del seu historial de xat d'IA. Aixo incloïa qualsevol contingut sensible que haguessin escrit.
L'estudi d'Incogni de 2025 va constatar que el 67% de les extensions de Chrome d'IA recullen dades dels usuaris. Les practiques de recopilacio, la revelacio i els destinataris de les dades varien molt en aquest grup. Consulteu la nostra visio general de seguretat i compliment per veure com els controls a nivell de navegador es comparen amb confiar en la conducta de cada eina.
Un marc de govern empresarial
Blockejar totes les extensions de navegador no es realistic. El cost es massa alt. La resposta adequada es un marc de govern que limiti l'exposicio a eines verificades i aprovades, principalment per a l'us d'IA.
Llista blanca d'extensions. Definiu quines extensions estan permeses als dispositius d'empresa. Exigiu una revisio de seguretat abans d'afegir qualsevol eina nova. Utilitzeu la politica de Chrome Enterprise per bloquejar les instal·lacions fora de la llista aprovada.
Revisio mes estricta per a les eines d'IA. Qualsevol extensio que gestioni prompts d'IA rep un escrutini addicional. Comproveu el transit de xarxa per veure on van les dades. Reviseu l'abast complet dels permisos. Verifiqueu la identitat de l'editor.
Controls a nivell de navegador. Per a les eines d'IA aprovades, apliqueu controls que interceptin el contingut sensible abans que arribi als proveidors d'IA. Aixo elimina la necessitat de confiar en la conducta de cada extensio.
La taxa d'auditoria del 83% no es un problema que els usuaris puguin resoldre. Els usuaris no poden auditar les extensions de Chrome per si mateixos. El govern empresarial, les llistes aprovades, l'aplicacio de politiques i els controls tecnics, es la resposta fiable. Consulteu les nostres preguntes frequents i el glossari de termes DLP de navegador per a mes informacio.
L'extensio de Chrome d'anonym.legal executa l'escaneig de PII localment al navegador. Cap contingut de xat arriba als servidors d'anonym.legal durant l'escaneig. El prompt modificat i emmascarat es el que s'envia al servei d'IA.