Hændelsen i januar 2026
To Chrome-udvidelser opdaget i januar 2026 — "Chat GPT for Chrome med GPT-5, Claude Sonnet og DeepSeek AI" (600.000+ brugere) og "AI Sidebar med Deepseek, ChatGPT, Claude og mere" (300.000+ brugere) — blev fundet at eksfiltrere komplette AI-samtalehistorier hvert 30. minut til en fjern kommandocentral.
Udvidelserne præsenterede sig selv som værktøjer til privatliv og AI-forbedring. Deres beskrivelser i Chrome Web Store fremhævede beskyttelse af brugerdata og design med fokus på privatliv. Deres faktiske adfærd — bekræftet af Astrix Securitys analyse — var at indfange komplette samtalehistorier fra ChatGPT, DeepSeek og andre AI-platforme og derefter transmittere dem til en angriber-kontrolleret server. De indfangede samtaler omfattede kildekode, personligt identificerbare oplysninger, juridiske strategidiskussioner, forretningsplaner og finansielle data.
Udvidelserne anmodede om tilladelse til at "indsamle anonyme, ikke-identificerbare analyseoplysninger." De indsamlede faktisk fuldt identificerbare, meget følsomme data med maksimal nøjagtighed.
Problemet med sikkerhedsinversion
Brugere, der specifikt installerer AI-privatlivsudvidelser, udtrykker en præference for værktøjer, der beskytter deres AI-samtaler. Hændelsen i januar 2026 dokumenterede det værst tænkelige udfald af den præference: værktøjet installeret til privatlivsformål er selve dataeksfiltreringsmekanismen.
Dette er ikke blot en risiko, der skal vejes — det er et dokumenteret udfald, der påvirker 900.000 brugere samtidigt. Chrome Web Stores automatiserede scanning opdagede ikke den ondsindede adfærd, fordi udvidelsernes datainnsamling var forklædt som analyse. Brugeranmeldelser afslørede ikke problemet, fordi brugerne ikke havde indsigt i netværkstrafikken.
Incogni's forskning fandt, at 67% af AI Chrome-udvidelser aktivt indsamler brugerdata — et tal, der inkluderer både offentliggjort analyseindsamling og uofficiel eksfiltrering. Det meningsfulde spørgsmål for virksomhedens IT-teams, der implementerer AI-privatlivsudvidelser, er ikke "indsamler denne udvidelse nogen data?" men "kan jeg verificere, at denne udvidelses dataflow er arkitektonisk ude af stand til at eksfiltrere samtaleindhold?"
Verifikationstest for arkitektur
Verifikationstesten for pålidelig lokal behandling er teknisk, ikke deklarativ: kan udvidelsens påståede lokale behandling uafhængigt verificeres ved netværksovervågning?
En udvidelse, der behandler PII-detektion lokalt — kører detektionsmodellen klient-side ved hjælp af TensorFlow.js, WASM eller en lokal binær — producerer nul udgående netværkstrafik under PII-detekteringsfasen. Netværksovervågning på brugerens arbejdsstation bør ikke vise nogen forbindelse til en ekstern server mellem brugerens indsættevent og indsendelsen til AI-platformen. Den eneste udgående trafik bør være den anonymiserede prompt, der går til AI-udbyderen.
En udvidelse, der ruter trafik gennem en proxyserver — selvom proxyen beskrives som en "privatlivsbevarende relay" — sender brugerindhold til en tredjepartsserver. Sikkerheden for proxyens operatør er nu en del af brugerens trusselmodel.
For virksomhedens IT-teams, der tilføjer browserudvidelser til den godkendte liste, er verifikationsprotokollen: implementere udvidelsen i et overvåget netværksmiljø, generere repræsentativ testtrafik og verificere, at der ikke opstår nogen udgående forbindelse til udvidelsens udgiveres servere under PII-behandling. Udvidelser, der ikke kan bestå denne test, bør ikke godkendes til virksomhedens implementering uanset deres påståede privatlivsforpligtelser.
Den lokale behandlingsarkitektur — hvor al detektion kører klient-side uden server-side komponent til anonymiseringstrinnet — er den arkitektoniske egenskab, der gør udvidelsens privatlivskrav uafhængigt verificerbare, snarere end at kræve tillid til udgiverens påstande.
Kilder: