עודכן לשנת 2026
רוב תוספי AI מעולם לא עברו ביקורת
Chrome Web Store מארח מעל 180,000 תוספי דפדפן. רבים — בעיקר כלי AI — מבקשים גישה רחבה. הם קוראים כל דף שאתם מבקרים. הם רואים את הלוח שלכם. הם יכולים לחסום או לשנות בקשות רשת.
USENIX Security 2025 מצא ש83% מתוספי Chrome עם הרשאות רחבות מעולם לא עברו ביקורת. מפתחים בנו אותם, פרסמו אותם, ומשתמשים התקינו אותם במיליונים. איש לא בדק האם כל כלי עושה רק מה שהוא טוען.
הפער הזה הוא מבני. Chrome Web Store סורק תוכנות זדוניות ידועות. הוא בודק כללי מדיניות. הוא לא יכול לאשר האם גביית הנתונים מגולה במלואה. הוא לא יכול לזהות האם נתונים זורמים לצדדים שלישיים נסתרים.
מחצית מעובדי הארגון מריצים כלים לא מאושרים
דוח אבטחת דפדפן ארגוני של LayerX 2025 מצא ש45% מעובדי הארגונים משתמשים בתוספי דפדפן ש-IT מעולם לא אישר. הדפוס נפוץ. עובד מוצא כלי שימושי. הוא מתקין אותו. IT לא יודע על כך לעולם.
שלבו 83% לא מבוקרים עם 45% לא מאושרים. כמעט מחצית מעובדי הארגון עשויים להריץ כלים שאבטחתם מעולם לא נבדקה. אותם עובדים מטפלים בנתוני חברה רגישים מדי יום.
עבור מגזרים מוסדרים, הסיכון הוא ישיר. עובד HR המשתמש בכלי לא נבדק שקורא תוכן לוח עשוי לשלוח נתונים אישיים לצד שלישי לא ידוע. עורך דין המשתמש בכלי כתיבת AI לא נבדק עשוי לשלוח נתוני לקוח לצד לא ידוע. ראו את הדרכת ציות המשפטי שלנו לאופן שבו סיכונים אלה ממופים ל-GDPR, HIPAA ומסגרות קשורות.
מה תקרית 900K המשתמשים מראה
תקרית מדווחת מתחילת 2026 מראה את מצב הכישלון. תוספי Chrome זדוניים חשפו יומני שיחת AI של 900,000 משתמשים בערך. כ-600,000 הגיעו מכלי אחד. כ-300,000 הגיעו מאחר. שניהם הציעו לכאורה תכונות AI אמיתיות. שניהם היו מופיעים ב-Chrome Web Store. לשניהם היו בסיסי משתמשים גדולים.
גניבת הנתונים הייתה שלמה תוך 30 דקות מההתקנה. עד שחוקרים מצאו את הכלים, כמעט מיליון משתמשים כבר איבדו שליטה על היסטוריית שיחות ה-AI שלהם. כלל זה כלל כל תוכן רגיש שהקלידו.
מחקר Incogni 2025 מצא ש67% מתוספי Chrome AI אוספים נתוני משתמשים. פרקטיקות האיסוף, הגילוי ויעדי הנתונים משתנים מאוד בקבוצה זו. ראו את סקירת האבטחה והציות שלנו לאופן שבו בקרות ברמת הדפדפן משתוות לאמון בהתנהגות כל כלי.
מסגרת ממשל ארגוני
חסימת כל תוספי הדפדפן אינה ריאלית. העלות גבוהה מדי. התגובה הנכונה היא מסגרת ממשל שמגבילה חשיפה לכלים מאושרים ובדוקים — בעיקר לשימוש AI.
רשימה לבנה של תוספים. הגדירו אילו תוספים מותרים במכשירי הארגון. דרשו סקירת אבטחה לפני הוספת כל כלי חדש. השתמשו במדיניות Chrome Enterprise לחסימת התקנות מחוץ לרשימה המאושרת.
סקירה קפדנית יותר לכלי AI. כל תוסף שמטפל בפרומפטים של AI זוכה לבחינה מעמיקה יותר. בדקו תעבורת רשת לראות לאן הנתונים הולכים. סקרו את היקף ההרשאות המלא. אמתו את זהות המפרסם.
בקרות ברמת הדפדפן. עבור כלי AI מאושרים, הפעילו בקרות שיירטות תוכן רגיש לפני שהוא מגיע לספקי AI. הדבר מסיר את הצורך לסמוך על התנהגות כל תוסף.
שיעור 83% הלא מבוקרים אינו בעיה שמשתמשים יכולים לפתור. משתמשים אינם יכולים לבדוק תוספי Chrome בעצמם. ממשל ארגוני — רשימות מאושרות, אכיפת מדיניות ובקרות טכניות — הוא התשובה האמינה. ראו את הFAQ ומילון מונחי DLP בדפדפן שלנו למידע נוסף.
תוסף Chrome של anonym.legal מריץ סריקת PII מקומית בדפדפן. תוכן שיחה אינו מגיע לשרתי anonym.legal במהלך הסריקה. הפרומפט שהשתנה ומוסתר הוא מה שנשלח לשירות ה-AI.