Problemet med urevurderede udvidelser
Chrome Web Store indeholder over 180.000 udvidelser. Mange af disse udvidelser — især dem der tilføjer AI-funktioner til webbrowseren — anmoder om brede tilladelser: adgang til alt webstedets indhold, adgang til udklipsholderen, adgang til lager og indfangning af netværksanmodninger.
USENIX 2025-forskning fandt, at 83% af Chrome-udvidelser med brede tilladelser aldrig har gennemgået en sikkerhedsrevision. Disse udvidelser blev oprettet, offentliggjort og installeret af millioner af brugere uden nogen uafhængig verifikation af, at de gør, hvad de påstår — og ikke mere.
Sikkerhedsrevisionskløften er et strukturelt træk ved, hvordan browserudvidelser distribueres. Chrome Web Store udfører automatiseret scanning for malware-signaturer og politikovertrædelser, men automatiseret scanning kan ikke evaluere, om en udvidelses datainnsamlingspraksis er korrekt offentliggjort, om API-data overføres til uoplyste tredjeparter, eller om udvidelsens angivne funktionalitet er dens komplette funktionalitet.
Virksomhedens eksponering
Forrester Research 2024 fandt, at 45% af virksomhedens medarbejdere bruger browserudvidelser, der ikke er godkendt af IT. Tallet afspejler den uformelle måde, hvorpå browserudvidelser typisk vedtages: en medarbejder finder et produktivitetsværktøj, installerer det og bruger det — uden nogen interaktion med IT-afdelingen.
Kombinationen af 83% aldrig-revideret og 45% ikke-godkendt betyder, at næsten halvdelen af virksomhedens medarbejdere bruger udvidelser, hvis sikkerhedsegenskaber ikke er blevet verificeret af nogen — og hvis brug ikke er blevet sanktioneret af den organisation, der er ansvarlig for de data, som disse medarbejdere håndterer.
For organisationer i regulerede industrier skaber dette direkte overholdelseseksponering. En HR-medarbejder, der bruger en ikke-godkendt browserudvidelse, der indsamler indhold fra udklipsholderen, har potentielt udsat medarbejdernes personlige data for en uscreenet tredje part. En juridisk professionel, der bruger en ikke-godkendt AI-skriveassistent, der får adgang til sideindhold, har potentielt udsat klientens fortrolige oplysninger.
Hvad hændelsen med 900K brugere viser
Hændelsen i januar 2026, hvor ondsindede Chrome-udvidelser udsatte AI-chat-historierne for 900.000 brugere — 600.000 fra én udvidelse, 300.000 fra en anden — illustrerer den fejlsituation, som det 83% urevurderede tal beskriver.
Udvidelserne syntes at give legitim AI-relateret funktionalitet. De var tilgængelige i Chrome Web Store. De havde brugerbaser store nok til at antyde legitimitet. Og de eksfiltrerede AI-samtaleindhold til eksterne servere.
Eksfiltreringen var fuldstændig inden for 30 minutter efter installationen. Da sikkerhedsforskere identificerede og rapporterede udvidelserne, havde samtaleindholdet fra 900.000 brugere — inklusive hvilken som helst følsom information, som disse brugere havde diskuteret med AI-værktøjer — forladt deres kontrol.
Forskning fra Caviard.ai (2025) fandt, at 67% af AI Chrome-udvidelser indsamler brugerdata — flertallet af AI-udvidelseskategorien. Af dem, der indsamler data, varierer offentliggørelsen, sikkerhedspraksis og transmissionsdestinationer enormt.
Rammeværk for virksomhedens browserstyring
For virksomhedens sikkerhedsteams er den passende reaktion på problemet med urevurderede udvidelser ikke at forbyde alle browserudvidelser — den operationelle indvirkning af den tilgang er betydelig. Det er at etablere et styringsrammeværk, der begrænser eksponeringen til reviderede, godkendte udvidelser til AI-funktionalitet specifikt.
Tilladelsesliste for udvidelser: Definer den godkendte liste over browserudvidelser til virksomhedens enheder. Sikkerhedsteamets gennemgang før tilføjelse til listen. Chrome Enterprise-politikoverholdelse forhindrer installation af ikke-tilladte udvidelser.
AI-specifik udvidelsesvurdering: Udvidelser, der behandler AI-prompt, modtager yderligere kontrol — netværkstrafikanalyse for at bekræfte transmissionsdestinationer, gennemgang af tilladelsesskala og verifikation af udgiverens identitet.
Tekniske kontroller for AI-indhold: For medarbejdere, der bruger godkendte AI-værktøjer, intercepts browser-niveau tekniske kontroller (i stedet for at stole på udvidelsesadfærd) følsomt indhold, før det når AI-udbydere. Dette adskiller sikkerhedsforpligtelsen fra tillid til individuelle udvidelser.
Den 83% urevurderede rate kan ikke adresseres gennem brugeruddannelse — brugere kan ikke revidere Chrome-udvidelser selv. Den kan adresseres gennem virksomhedens styring, der adskiller godkendte fra ikke-godkendte, og gennem tekniske kontroller, der giver databeskyttelse uanset udvidelsesadfærd.
Kilder: