बिना ऑडिट की गई एक्सटेंशन समस्या
Chrome वेब स्टोर में 180,000 से अधिक एक्सटेंशन हैं। इनमें से कई एक्सटेंशन - विशेष रूप से वे जो वेब ब्राउज़िंग में AI क्षमताएँ जोड़ते हैं - व्यापक अनुमतियाँ मांगते हैं: सभी वेबसाइट सामग्री तक पहुँच, क्लिपबोर्ड तक पहुँच, संग्रहण तक पहुँच, और नेटवर्क अनुरोध इंटरसेप्शन।
USENIX 2025 के शोध में पाया गया कि 83% Chrome एक्सटेंशनों जिनके पास व्यापक अनुमतियाँ हैं, कभी सुरक्षा ऑडिट नहीं हुई। ये एक्सटेंशन लाखों उपयोगकर्ताओं द्वारा बिना किसी स्वतंत्र सत्यापन के बनाए, प्रकाशित और स्थापित किए गए हैं कि वे जो दावा करते हैं, वही करते हैं - और कुछ नहीं।
सुरक्षा ऑडिट अंतर एक संरचनात्मक विशेषता है कि ब्राउज़र एक्सटेंशनों का वितरण कैसे किया जाता है। Chrome वेब स्टोर मैलवेयर हस्ताक्षर और नीति उल्लंघनों के लिए स्वचालित स्कैनिंग करता है, लेकिन स्वचालित स्कैनिंग यह मूल्यांकन नहीं कर सकती कि क्या एक एक्सटेंशन के डेटा संग्रह प्रथाएँ सही ढंग से प्रकट की गई हैं, क्या API डेटा बिना बताए तीसरे पक्ष को भेजा जा रहा है, या क्या एक्सटेंशन की घोषित कार्यक्षमता इसकी पूरी कार्यक्षमता है।
उद्यम जोखिम
Forrester Research 2024 ने पाया कि 45% उद्यम कर्मचारी ब्राउज़र एक्सटेंशन का उपयोग करते हैं जो IT द्वारा अनुमोदित नहीं हैं। यह आंकड़ा दर्शाता है कि आमतौर पर ब्राउज़र एक्सटेंशनों को अपनाने का अनौपचारिक तरीका: एक कर्मचारी एक उत्पादकता उपकरण खोजता है, इसे स्थापित करता है, और इसका उपयोग करता है - बिना IT विभाग के साथ किसी इंटरैक्शन के।
83% बिना ऑडिट और 45% अप्रूव्ड का संयोजन यह दर्शाता है कि लगभग आधे उद्यम कर्मचारी ऐसे एक्सटेंशनों का उपयोग कर रहे हैं जिनकी सुरक्षा विशेषताओं की किसी ने भी पुष्टि नहीं की है - और जिनका उपयोग उस संगठन द्वारा अनुमोदित नहीं किया गया है जो उन कर्मचारियों द्वारा संभाले गए डेटा के लिए जिम्मेदार है।
नियामक उद्योगों में संगठनों के लिए, यह सीधे अनुपालन जोखिम उत्पन्न करता है। एक HR कर्मचारी जो एक अप्रूव्ड ब्राउज़र एक्सटेंशन का उपयोग करता है जो क्लिपबोर्ड सामग्री एकत्र करता है, संभावित रूप से कर्मचारी व्यक्तिगत डेटा को एक बिना जांचे गए तीसरे पक्ष के सामने उजागर कर सकता है। एक कानूनी पेशेवर जो एक अप्रूव्ड AI लेखन सहायक का उपयोग करता है जो पृष्ठ सामग्री तक पहुँचता है, संभावित रूप से ग्राहक की गोपनीय जानकारी को उजागर कर सकता है।
900K-उपयोगकर्ता घटना क्या दर्शाती है
जनवरी 2026 की घटना जिसमें दुर्भावनापूर्ण Chrome एक्सटेंशनों ने 900,000 उपयोगकर्ताओं के AI चैट इतिहास को उजागर किया - 600,000 एक एक्सटेंशन से, 300,000 दूसरे से - उस विफलता मोड को दर्शाता है जिसे 83% बिना ऑडिट किए गए आंकड़े ने वर्णित किया।
एक्सटेंशन ने वैध AI-संबंधित कार्यक्षमता प्रदान करने का दिखावा किया। वे Chrome वेब स्टोर में उपलब्ध थे। उनके पास उपयोगकर्ता आधार इतना बड़ा था कि यह वैधता का सुझाव देता है। और वे AI बातचीत की सामग्री को बाहरी सर्वरों पर भेज रहे थे।
एक्सफिल्ट्रेशन स्थापना के 30 मिनट के भीतर पूर्ण हो गया। जब तक सुरक्षा शोधकर्ताओं ने एक्सटेंशनों की पहचान की और रिपोर्ट की, 900,000 उपयोगकर्ताओं की बातचीत की सामग्री - जिसमें वे जो संवेदनशील जानकारी AI उपकरणों के साथ चर्चा कर चुके थे - उनके नियंत्रण से बाहर चली गई थी।
Caviard.ai (2025) के शोध में पाया गया कि 67% AI Chrome एक्सटेंशन उपयोगकर्ता डेटा एकत्र करते हैं - AI एक्सटेंशन श्रेणी का अधिकांश भाग। जिनमें से डेटा एकत्र करने वाले, प्रकटीकरण, सुरक्षा प्रथाएँ, और ट्रांसमिशन गंतव्य अत्यधिक भिन्न होते हैं।
उद्यम ब्राउज़र शासन ढांचा
उद्यम सुरक्षा टीमों के लिए, बिना ऑडिट की गई एक्सटेंशन समस्या का उचित उत्तर सभी ब्राउज़र एक्सटेंशनों पर प्रतिबंध लगाना नहीं है - उस दृष्टिकोण का संचालनात्मक प्रभाव महत्वपूर्ण है। यह एक शासन ढांचा स्थापित करना है जो विशेष रूप से AI कार्यक्षमता के लिए ऑडिटेड, अनुमोदित एक्सटेंशनों के लिए जोखिम को सीमित करता है।
एक्सटेंशन अनुमति सूची: उद्यम उपकरणों के लिए ब्राउज़र एक्सटेंशनों की अनुमोदित सूची को परिभाषित करें। सूची में जोड़ने से पहले सुरक्षा टीम की समीक्षा। Chrome उद्यम नीति प्रवर्तन गैर-स्वीकृत एक्सटेंशनों की स्थापना को रोकता है।
AI-विशिष्ट एक्सटेंशन जांच: जो एक्सटेंशन AI प्रॉम्प्ट्स को प्रोसेस करते हैं, उन्हें अतिरिक्त जांच मिलती है - ट्रांसमिशन गंतव्यों की पुष्टि के लिए नेटवर्क ट्रैफ़िक विश्लेषण, अनुमति दायरे की समीक्षा, और प्रकाशक पहचान सत्यापन।
AI सामग्री के लिए तकनीकी नियंत्रण: उन कर्मचारियों के लिए जो अनुमोदित AI उपकरणों का उपयोग कर रहे हैं, ब्राउज़र-स्तरीय तकनीकी नियंत्रण (एक्सटेंशन व्यवहार पर भरोसा करने के बजाय) संवेदनशील सामग्री को AI प्रदाताओं तक पहुँचने से पहले इंटरसेप्ट करते हैं। यह सुरक्षा दायित्व को व्यक्तिगत एक्सटेंशनों में विश्वास से अलग करता है।
83% बिना ऑडिट दर उपयोगकर्ता शिक्षा के माध्यम से संबोधित नहीं की जा सकती - उपयोगकर्ता स्वयं Chrome एक्सटेंशनों का ऑडिट नहीं कर सकते। यह अनुमोदित और अप्रूव्ड को अलग करने वाले उद्यम शासन के माध्यम से और तकनीकी नियंत्रणों के माध्यम से डेटा सुरक्षा प्रदान करने के माध्यम से संबोधित किया जा सकता है, चाहे एक्सटेंशन व्यवहार कुछ भी हो।
स्रोत: