Tammikuun 2026 tapaus
Kaksi Chrome-laajennusta, jotka löydettiin tammikuussa 2026 — "Chat GPT for Chrome with GPT-5, Claude Sonnet and DeepSeek AI" (yli 600 000 käyttäjää) ja "AI Sidebar with Deepseek, ChatGPT, Claude and more" (yli 300 000 käyttäjää) — havaittiin varastavan täydellisiä AI-keskusteluhistoriaa 30 minuutin välein etäkomento- ja ohjauspalvelimelle.
Laajennukset esittäytyivät tietosuoja- ja AI-parannustyökaluina. Niiden Chrome Web Store -kuvaukset korostivat käyttäjätietojen suojaamista ja tietosuojaa ensisijaisena suunnitteluna. Niiden todellinen käyttäytyminen — Astrix Securityn analyysin vahvistama — oli tallentaa täydelliset keskusteluhistoriat ChatGPT:stä, DeepSeekistä ja muista AI-alustoista ja siirtää ne hyökkääjän hallitsemalle palvelimelle. Tallennetut keskustelut sisälsivät lähdekoodia, henkilökohtaisesti tunnistettavaa tietoa, oikeudellisia strategia keskusteluja, liiketoimintasuunnitelmia ja taloudellisia tietoja.
Laajennukset pyysivät lupaa "kerätä anonyymejä, ei-tunnistettavia analytiikkatietoja." Ne keräsivät itse asiassa täysin tunnistettavaa, erittäin arkaluontoista tietoa maksimaalisella tarkkuudella.
Turvallisuuden käänteinen ongelma
Käyttäjät, jotka erityisesti asentavat AI-tietosuoja laajennuksia, ilmaisevat mieltymyksensä työkaluja kohtaan, jotka suojaavat heidän AI-keskustelujaan. Tammikuun 2026 tapaus dokumentoi tämän mieltymyksen pahimman mahdollisen lopputuloksen: työkalu, joka on asennettu tietosuojatarkoituksiin, on itse tietojen varastamismekanismi.
Tämä ei ole vain riski, jota on arvioitava — se on dokumentoitu lopputulos, joka vaikuttaa samanaikaisesti 900 000 käyttäjään. Chrome Web Storen automaattinen skannaus ei havainnut haitallista käyttäytymistä, koska laajennusten tietojen keruu naamioitiin analytiikaksi. Käyttäjäarvostelut eivät paljastaneet ongelmaa, koska käyttäjillä ei ollut näkyvyyttä verkkoliikenteeseen.
Incogni-tutkimus havaitsi, että 67 % AI Chrome -laajennuksista kerää aktiivisesti käyttäjätietoja — luku, joka sisältää sekä ilmoitetun analytiikkakeruun että ilmoittamattoman varastamisen. Merkittävä kysymys yritysten IT-tiimeille, jotka käyttävät AI-tietosuoja laajennuksia, ei ole "kerääkö tämä laajennus mitään tietoja?" vaan "voinko varmistaa, että tämän laajennuksen tietovirta on arkkitehtonisesti kykenemätön varastamaan keskustelusisältöä?"
Arkkitehtuurin tarkistuskoe
Luotettavan paikallisen käsittelyn tarkistuskoe on tekninen, ei deklaratiivinen: voidaanko laajennuksen väitetty paikallinen käsittely itsenäisesti vahvistaa verkon valvonnalla?
Laajennus, joka käsittelee PII-tunnistusta paikallisesti — suorittamalla tunnistusmallin asiakaspuolella käyttäen TensorFlow.js:ää, WASM:ia tai paikallista binääriä — tuottaa nollaa lähtevää verkkoliikennettä PII-tunnistusvaiheessa. Verkon valvonnan käyttäjän työasemalla tulisi näyttää, ettei yhteyttä ulkoiseen palvelimeen ole käyttäjän liittämistapahtuman ja lähetyksen välillä AI-alustalle. Ainoa lähtevä liikenne tulisi olla anonymisoitu pyyntö, joka menee AI-toimittajalle.
Laajennus, joka ohjaa liikennettä proxy-palvelimen kautta — vaikka proxyä kuvataan "tietosuojaa säilyttävänä välittäjänä" — lähettää käyttäjän sisällön kolmannen osapuolen palvelimelle. Proxy-operaattorin turvallisuus on nyt osa käyttäjän uhkamallia.
Yritysten IT-tiimeille, jotka lisäävät selainlaajennuksia yrityksen hyväksyttyyn luetteloon, tarkistusprotokolla on: ota laajennus käyttöön valvotussa verkkoympäristössä, luo edustavaa testiliikennettä ja varmista, ettei ulkoista yhteyttä laajennuksen julkaisijan palvelimille tapahdu PII-käsittelyn aikana. Laajennuksia, jotka eivät voi läpäistä tätä testiä, ei tulisi hyväksyä yrityskäyttöön riippumatta niiden ilmoitetuista tietosuojavelvoitteista.
Paikallisen käsittelyn arkkitehtuuri — jossa kaikki tunnistukset suoritetaan asiakaspuolella ilman palvelinpuolen komponenttia anonymisointivaiheessa — on arkkitehtoninen ominaisuus, joka tekee laajennuksen tietosuoja väitteistä itsenäisesti vahvistettavia, sen sijaan että luotettaisiin julkaisijan väittämiin.
Lähteet: