Der Vorfall im Januar 2026
Zwei Chrome-Erweiterungen, die im Januar 2026 entdeckt wurden — "Chat GPT für Chrome mit GPT-5, Claude Sonnet und DeepSeek AI" (über 600.000 Nutzer) und "AI Sidebar mit Deepseek, ChatGPT, Claude und mehr" (über 300.000 Nutzer) — wurden dabei entdeckt, vollständige AI-Gesprächshistorien alle 30 Minuten an einen entfernten Command-and-Control-Server zu exfiltrieren.
Die Erweiterungen präsentierten sich als Datenschutz- und AI-Verbesserungstools. Ihre Beschreibungen im Chrome Web Store betonten den Schutz der Benutzerdaten und ein datenschutzorientiertes Design. Ihr tatsächliches Verhalten — bestätigt durch die Analyse von Astrix Security — bestand darin, vollständige Gesprächshistorien von ChatGPT, DeepSeek und anderen AI-Plattformen zu erfassen und diese an einen vom Angreifer kontrollierten Server zu übertragen. Die erfassten Gespräche umfassten Quellcode, personenbezogene Daten, rechtliche Strategiediskussionen, Geschäftspläne und Finanzdaten.
Die Erweiterungen forderten die Erlaubnis, "anonyme, nicht identifizierbare Analysedaten zu sammeln." Tatsächlich sammelten sie vollständig identifizierbare, hochsensible Daten mit maximaler Genauigkeit.
Das Sicherheitsinvertierungsproblem
Nutzer, die speziell AI-Datenschutz-Erweiterungen installieren, drücken eine Präferenz für Tools aus, die ihre AI-Gespräche schützen. Der Vorfall im Januar 2026 dokumentierte das schlimmste Ergebnis dieser Präferenz: Das Tool, das für Datenschutzzwecke installiert wurde, ist selbst der Mechanismus zur Datenexfiltration.
Dies ist nicht nur ein Risiko, das abgewogen werden muss — es ist ein dokumentiertes Ergebnis, das gleichzeitig 900.000 Nutzer betrifft. Der automatisierte Scan des Chrome Web Stores erkannte das bösartige Verhalten nicht, da die Datensammlung der Erweiterungen als Analytik getarnt war. Die Nutzerbewertungen offenbarten das Problem nicht, da die Nutzer keine Sichtbarkeit in den Netzwerkverkehr hatten.
Die Forschung von Incogni ergab, dass 67% der AI Chrome-Erweiterungen aktiv Benutzerdaten sammeln — eine Zahl, die sowohl die offengelegten Analysedaten als auch die nicht offengelegte Exfiltration umfasst. Die entscheidende Frage für IT-Teams in Unternehmen, die AI-Datenschutz-Erweiterungen bereitstellen, ist nicht "Erfasst diese Erweiterung irgendwelche Daten?", sondern "Kann ich überprüfen, dass der Datenfluss dieser Erweiterung architektonisch nicht in der Lage ist, Gesprächsinhalte zu exfiltrieren?"
Der Architekturverifizierungstest
Der Verifizierungstest für vertrauenswürdige lokale Verarbeitung ist technisch, nicht deklarativ: Kann die behauptete lokale Verarbeitung der Erweiterung unabhängig durch Netzwerküberwachung verifiziert werden?
Eine Erweiterung, die die Erkennung von PII lokal verarbeitet — indem sie das Erkennungsmodell clientseitig mit TensorFlow.js, WASM oder einer lokalen Binärdatei ausführt — erzeugt während der PII-Erkennungsphase keinen ausgehenden Netzwerkverkehr. Die Netzwerküberwachung auf dem Arbeitsplatz des Nutzers sollte keine Verbindung zu einem externen Server zwischen dem Einfügeereignis des Nutzers und der Übermittlung an die AI-Plattform zeigen. Der einzige ausgehende Verkehr sollte das anonymisierte Prompt sein, das an den AI-Anbieter gesendet wird.
Eine Erweiterung, die den Verkehr über einen Proxy-Server leitet — selbst wenn der Proxy als "datenschutzfreundlicher Relay" beschrieben wird — sendet Benutzerinhalte an einen Drittserver. Die Sicherheit des Betreibers des Proxys ist nun Teil des Bedrohungsmodells des Nutzers.
Für IT-Teams in Unternehmen, die Browsererweiterungen zur genehmigten Liste hinzufügen, lautet das Verifizierungsprotokoll: Die Erweiterung in einer überwachten Netzwerkumgebung bereitstellen, repräsentativen Testverkehr erzeugen und überprüfen, dass während der PII-Verarbeitung keine ausgehende Verbindung zu den Servern des Erweiterungsanbieters erfolgt. Erweiterungen, die diesen Test nicht bestehen können, sollten unabhängig von ihren erklärten Datenschutzverpflichtungen nicht für den Unternehmenseinsatz genehmigt werden.
Die lokale Verarbeitungsarchitektur — bei der alle Erkennungen clientseitig ohne serverseitige Komponente für den Anonymisierungsschritt durchgeführt werden — ist die architektonische Eigenschaft, die die Datenschutzansprüche der Erweiterung unabhängig verifizierbar macht, anstatt Vertrauen in die Behauptungen des Anbieters zu erfordern.
Quellen: