900.000 Erabiltzaileko Gehigarri-Inzidentearen Ostean

2026ko Urtarrileko Inzidentea

2026rako eguneratua. 2026ko urtarrilean, bi Chrome gehigarri gaizto aurkitu ziren 900.000+ erabiltzailerekin.

Haien izenak benetako AI tresnak ziruditen:

• "Chat GPT for Chrome with GPT-5, Claude Sonnet and DeepSeek AI" - 600.000+ erabiltzaile
• "AI Sidebar with Deepseek, ChatGPT, Claude and more" - 300.000+ erabiltzaile

Biak gauza bera egiten zuten. 30 minuturo, AI elkarrizketa osoak urruneko zerbitzari batera bidaltzen zituzten. Lapurtutako datuak kodea, datu pertsonalak, lege-oharrak eta negozio-planak ziren. Astrix Security-k hau baieztatu zuen.

Gehigarri hauek "datu analitiko anonimoak eta identifikaezinak biltzea" eskatzen zuten. Formulazio hori seguru iruditzen da. Ez zen hala. Bildutako datuak guztiz identifikagarriak eta oso sentikorrak ziren.

Segurtasun Inbertsioaren Arazoa

AI pribatutasun-tresnak instalatzen dituzten erabiltzaileek babesa nahi dute. 2026ko urtarrileko kasua erakusten du okerrena: pribatutasunerako instalatu zenuen tresna da zure datuak lapurtzen dituena.

Hau ez da teoria. 900.000 erabiltzaileri gertatu zitzaien aldi berean. Chrome Web Store-ko eskaneatzeak ez zuen detektatu. Erabiltzaileen iruzkinak ez zuen agerian jarri. Lapurreta "analitika" bezala ezkutatu zen.

Incogni-k aurkitu zuen AI Chrome gehigarrien %67k erabiltzaileen datuak aktiboki biltzen dituztela. IT taldeentzat, galdera nagusia ez da "honek edozein datu biltzen al du?" Baizik: "berreta dezaket gehigarri honek ezin duela elkarrizketa-edukia hirugarren bati bidali?"

Arkitektura Egiaztapenaren Proba

Badago tokiko prozesamenduaren egiaztapen fidagarri bat: sareko jarraipena.

PII tokian detektatzen duen gehigarri batek zero kanpoko trafiko sortzen du detekzio garaian. Erabiltzailearen itsaste eta AI plataformara bidalketaren artean ez da kanpoko zerbitzarira konexiorik agertu behar. Prozesatutako galdetegia bakarrik irtetera doa.

Trafikoa proxy baten bidez bideratzen duen gehigarri batek zure edukia hirugarren zerbitzarira bidaltzen du. Zerbitzari-operadorea zure mehatxu-ereduan sartu da.

IT egiaztapen-urratsak sinpleak dira:

1. Gehigarria monitorizatutako sare batean zabaldu
2. Test galdeterak exekutatu
3. PII prozesatzean zehar argitaratzailearen zerbitzarietarako kanpoko konexioak begiratu

Proba hau gainditzen ez badu, ez onartu. Marketing-adierazpenak ez dira garrantzitsuak. Sareko trafikoa da froga.

Tokiko prozesamenduak fidagarria da egiaztatu daitekeelako. Ez duzu argitaratzaileagan fidatu behar. Portaera zuzenean behatu dezakezu. Ikusi anonym.legal-ek hau nola kudeatzen duen gure Chrome gehigarriaren segurtasun-ikuspegiaren eta betetze-gidaren bidez.

IT Taldeek Eskatu Beharrekoa

2026ko urtarriletik aurrera, AI nabigatzaile-tresnetarako barra altuagoa da.

Gutxieneko zerrenda:

• Tokiko prozesamendu - sareko auditoriaz egiaztatua, ez soilik aldarrikatua
• Argitaratzaile ezaguna - enpresa erreala, negozio-eredu argia
• Ziurtagiri independentea - ISO 27001 edo baliokidea
• Garatzaile-zerbitzariaren bideratzerik ez funtsezko pribatutasun-ezaugarrientzat

AI nabigatzaile-gehigarri gehienek ez dute zerrenda hau gaindituko. Bilketa-tasa %67k argi uzten du hori. Instalazio-kopuru handiak ez dira segurtasun-seinale. 2026ko urtarrileko tresnek ehunen milaka erabiltzaile zituzten inork egiaztatu aurretik.

AI nabigatzaile-tresna seguruen inguruko informazio gehiago lortzeko, ikusi gure segurtasun eta betetze-orria.

Iturriak

• Astrix Security: 900K erabiltzaile arriskuan, Chrome gehigarri gaiztoaren analisia
• Malwarebytes: Chrome gehigarriak AI elkarrizketak xurgatzen
• Incogni: AI Chrome Gehigarriak Pribatutasun-Arriskuaren Arabera