Tarkastamattoman laajennuksen ongelma
Chrome Web Store sisältää yli 180 000 laajennusta. Monet näistä laajennuksista — erityisesti ne, jotka lisäävät AI-ominaisuuksia verkkoselaamiseen — pyytävät laajoja käyttöoikeuksia: pääsy kaikelle verkkosivuston sisällölle, leikepöydän käyttöoikeus, tallennustilan käyttöoikeus ja verkkopyyntöjen sieppaaminen.
USENIX 2025 -tutkimus havaitsi, että 83% Chrome-laajennuksista, joilla on laajat käyttöoikeudet, ei ole koskaan käynyt läpi turvallisuustarkastusta. Nämä laajennukset on luonut, julkaissut ja asentanut miljoonat käyttäjät ilman mitään riippumatonta vahvistusta siitä, että ne tekevät sen, mitä väittävät — eikä mitään muuta.
Turvallisuustarkastuksen puute on rakenteellinen piirre siitä, miten selainlaajennuksia jaetaan. Chrome Web Store suorittaa automatisoituja skannauksia haittaohjelmasignaaleille ja politiikan rikkomuksille, mutta automatisoitu skannaus ei voi arvioida, onko laajennuksen tietojen keräyskäytännöt ilmoitettu tarkasti, siirretäänkö API-tietoja ilmoittamattomille kolmansille osapuolille tai onko laajennuksen ilmoitettu toiminnallisuus sen täydellinen toiminnallisuus.
Yrityksen altistus
Forrester Research 2024 havaitsi, että 45% yrityksen työntekijöistä käyttää IT:n hyväksymättömiä selainlaajennuksia. Luku heijastaa epävirallista tapaa, jolla selainlaajennuksia yleensä otetaan käyttöön: työntekijä löytää tuottavuustyökalun, asentaa sen ja käyttää sitä — ilman mitään vuorovaikutusta IT-osaston kanssa.
Yhdistelmä 83% tarkastamattomista ja 45% hyväksymättömistä tarkoittaa, että lähes puolet yrityksen työntekijöistä käyttää laajennuksia, joiden turvallisuusominaisuuksia ei ole vahvistettu kenelläkään — ja joiden käyttöä ei ole hyväksytty organisaation toimesta, joka on vastuussa niiden työntekijöiden käsittelemistä tiedoista.
Säännellyillä aloilla toimiville organisaatioille tämä luo suoran vaatimustenmukaisuuden altistuksen. HR-työntekijä, joka käyttää hyväksymätöntä selainlaajennusta, joka kerää leikepöydän sisältöä, on mahdollisesti altistanut työntekijöiden henkilötietoja seulomattomalle kolmannelle osapuolelle. Oikeudellinen ammattilainen, joka käyttää hyväksymätöntä AI-kirjoitusassistenttia, joka pääsee sivun sisältöön, on mahdollisesti altistanut asiakkaan luottamuksellista tietoa.
Mitä 900K-käyttäjän tapaus osoittaa
Tammikuussa 2026 tapahtunut tapaus, jossa haitalliset Chrome-laajennukset paljastivat 900 000 käyttäjän AI-keskusteluhistoriat — 600 000 yhdestä laajennuksesta, 300 000 toisesta — havainnollistaa epäonnistumismoodia, jota 83% tarkastamaton luku kuvaa.
Laajennukset näyttivät tarjoavan laillista AI:hen liittyvää toiminnallisuutta. Ne olivat saatavilla Chrome Web Storessa. Niillä oli riittävän suuret käyttäjäkunnat, jotka viittasivat laillisuuteen. Ja ne siirsivät AI-keskustelun sisältöä ulkoisille palvelimille.
Siirto oli valmis 30 minuutissa asennuksesta. Siihen mennessä, kun turvallisuustutkijat tunnistivat ja raportoivat laajennuksista, 900 000 käyttäjän keskustelusisältö — mukaan lukien kaikki herkkä tieto, jota käyttäjät olivat keskustelleet AI-työkalujen kanssa — oli poistunut heidän hallinnastaan.
Caviard.ai:n (2025) tutkimus havaitsi, että 67% AI Chrome -laajennuksista kerää käyttäjätietoja — suurin osa AI-laajennusluokasta. Niistä, jotka keräävät tietoja, ilmoitus, turvallisuuskäytännöt ja siirto-osoitteet vaihtelevat valtavasti.
Yrityksen selainhallintakehys
Yrityksen turvallisuustiimien asianmukainen vastaus tarkastamattoman laajennuksen ongelmaan ei ole kieltää kaikkia selainlaajennuksia — tämän lähestymistavan operatiivinen vaikutus on merkittävä. Sen sijaan on perustettava hallintakehys, joka rajoittaa altistumista tarkastetuille, hyväksytyille laajennuksille erityisesti AI-toiminnallisuuden osalta.
Laajennusten salliminen: Määrittele hyväksyttyjen selainlaajennusten lista yrityslaitteille. Turvatiimin tarkistus ennen lisäystä listalle. Chrome Enterprise -politiikan täytäntöönpano estää ei-sallittujen laajennusten asentamisen.
AI-spesifinen laajennusten arviointi: Laajennukset, jotka käsittelevät AI-kehotteita, saavat lisähuomiota — verkkoliikenteen analyysi siirto-osoitteiden vahvistamiseksi, käyttöoikeusalueen tarkistus ja julkaisijan henkilöllisyyden vahvistaminen.
Tekniset kontrollit AI-sisällölle: Hyväksyttyjä AI-työkaluja käyttävien työntekijöiden osalta selainkohtaiset tekniset kontrollit (sen sijaan, että luotettaisiin laajennusten käyttäytymiseen) sieppaavat herkkiä sisältöjä ennen kuin ne saavuttavat AI-toimittajat. Tämä irrottaa turvallisuusvelvoitteet luottamuksesta yksittäisiin laajennuksiin.
83% tarkastamaton luku ei ole ratkaistavissa käyttäjäkoulutuksen kautta — käyttäjät eivät voi tarkastaa Chrome-laajennuksia itse. Se on ratkaistavissa yrityshallinnan kautta, joka erottaa hyväksytyt hyväksymättömistä, ja teknisten kontrollien kautta, jotka tarjoavat tietosuojan riippumatta laajennusten käyttäytymisestä.
Lähteet:
- USENIX Security 2025: "Minulla ei ole aavistustakaan, miten tehdä siitä turvallisempaa" — Selainlaajennuskehittäjän turvallisuusajattelutavat
- LayerX 2025: Yrityksen selainlaajennusten turvallisuusraportti — laajasti hyväksymättömien laajennusten käyttö
- Incogni 2025: 67% AI Chrome -laajennuksista kerää käyttäjätietoja