anonym.legal
ब्लॉग पर वापस जाएँAI सुरक्षा

900,000 उपयोगकर्ता प्रभावित: एक AI गोपनीयता एक्सटेंशन...

जनवरी 2026 में, 900,000+ उपयोगकर्ताओं के साथ दो दुर्भावनापूर्ण Chrome एक्सटेंशन को हर 30 मिनट में ChatGPT और DeepSeek बातचीत को निकालते हुए पकड़ा...

March 8, 20268 मिनट पढ़ें
Chrome extension securitymalicious extensionChatGPT privacyAI data protection

जनवरी 2026 की घटना

जनवरी 2026 में, सुरक्षा शोधकर्ताओं ने दो दुर्भावनापूर्ण Chrome एक्सटेंशन का पता लगाया जो 900,000+ उपयोगकर्ताओं को प्रभावित कर चुके थे।

एक्सटेंशन के नाम जानबूझकर इस तरह से चुने गए थे कि वे वैध AI संवर्धन उपकरण के रूप में दिखाई दें:

  • "Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI" — 600,000+ उपयोगकर्ता
  • "AI Sidebar with Deepseek, ChatGPT, Claude and more" — 300,000+ उपयोगकर्ता

दोनों एक्सटेंशन वही कर रहे थे: हर 30 मिनट में पूर्ण ChatGPT और DeepSeek बातचीत को एक दूरस्थ कमांड-और-नियंत्रण सर्वर पर निकालना

बाहर निकलने वाले डेटा में स्रोत कोड, व्यक्तिगत पहचान योग्य जानकारी, चर्चा में कानूनी मामले, व्यावसायिक रणनीतियाँ, और वित्तीय डेटा शामिल थे। उपयोगकर्ताओं द्वारा अपने AI चैट सत्रों में टाइप किया गया सब कुछ — जो कुछ भी उन्होंने निजी माना — अज्ञात पक्षों को भेजा जा रहा था।

एक्सटेंशन ने विश्वास संकेतों को कैसे बायपास किया

एक्सटेंशन ने "गोपनीय, गैर-पहचान योग्य विश्लेषणात्मक डेटा एकत्र करने" की अनुमति मांगी — यह भाषा अनुमतियों की समीक्षा के दौरान हानिरहित प्रतीत होने के लिए गणना की गई थी।

वास्तव में, उन्होंने AI बातचीत की पूरी सामग्री को कैप्चर किया। विश्लेषणात्मक अनुमति वाहन थी; AI बातचीत का निष्कासन कार्गो था।

यह तकनीक — हानिकारक डेटा संग्रह को सक्षम करने के लिए निर्दोष-ध्वनि अनुमतियों का उपयोग करना — Chrome एक्सटेंशन खतरे की श्रेणी को इतना स्थायी बनाने वाली संचालन पुस्तिका का प्रतिनिधित्व करती है। उपयोगकर्ता जो कभी भी फ़िशिंग लिंक पर क्लिक नहीं करेंगे, इरादे से इन एक्सटेंशनों को Chrome वेब स्टोर से स्थापित करते हैं, क्योंकि वे AI उत्पादकता लाभ प्रदान करते हुए दिखाई देते हैं।

व्यापक पैटर्न: 67% AI एक्सटेंशन आपके डेटा को एकत्र करते हैं

जनवरी 2026 की घटना कोई अपवाद नहीं थी। Incogni द्वारा किए गए शोध में पाया गया कि 67% AI Chrome एक्सटेंशन सक्रिय रूप से उपयोगकर्ता डेटा एकत्र करते हैं — यह आंकड़ा एक्सटेंशन पारिस्थितिकी तंत्र के कई स्वतंत्र विश्लेषणों में पुष्टि की गई है।

यह AI गोपनीयता एक्सटेंशन बाजार का मूल विरोधाभास है: वे एक्सटेंशन जिन्हें उपयोगकर्ता विशेष रूप से अपनी AI गोपनीयता की रक्षा के लिए स्थापित करते हैं, अधिकांश मामलों में, वही डेटा एकत्र कर रहे हैं।

बाजार ने एक श्रेणी बनाई — ब्राउज़रों के लिए AI गोपनीयता उपकरण — लेकिन उपयोगकर्ताओं के लिए यह सत्यापित करने के लिए विश्वसनीय तंत्र नहीं बनाए कि क्या एक निश्चित एक्सटेंशन वास्तव में गोपनीयता प्रदान करता है या केवल दावा करता है। परिणाम: एक ऐसा बाजार जहाँ सुरक्षा के लिए स्थापित उपकरण स्वयं हमले का वेक्टर है।

सुरक्षित और असुरक्षित के बीच का अंतर

जनवरी 2026 की घटना एक विशिष्ट तकनीकी भेद को दर्शाती है जिसे उपयोगकर्ताओं को किसी भी AI-संबंधित Chrome एक्सटेंशन का मूल्यांकन करते समय समझना चाहिए।

असुरक्षित आर्किटेक्चर — एक्सटेंशन के सर्वरों के माध्यम से रूटिंग:

  1. उपयोगकर्ता ChatGPT में टाइप करता है
  2. एक्सटेंशन पाठ को इंटरसेप्ट करता है
  3. एक्सटेंशन पाठ को "प्रसंस्करण" के लिए अपने बैकएंड सर्वर पर भेजता है
  4. बैकएंड सर्वर संसाधित पाठ लौटाता है
  5. एक्सटेंशन ChatGPT को प्रस्तुत करता है

इस आर्किटेक्चर में, हर प्रॉम्प्ट एक्सटेंशन डेवलपर की अवसंरचना के माध्यम से गुजरता है। एक्सटेंशन डेवलपर को बातचीत की सामग्री तक पूर्ण पहुंच होती है। यदि एक्सटेंशन दुर्भावनापूर्ण है (या बाद में किसी दुर्भावनापूर्ण अभिनेता द्वारा अधिग्रहित किया जाता है, या हैक किया जाता है), तो सभी सामग्री उजागर हो जाती है।

सुरक्षित आर्किटेक्चर — केवल स्थानीय प्रसंस्करण:

  1. उपयोगकर्ता ChatGPT में टाइप करता है
  2. एक्सटेंशन पाठ को इंटरसेप्ट करता है
  3. एक्सटेंशन पाठ को ब्राउज़र में स्थानीय रूप से संसाधित करता है (उसी JavaScript रनटाइम का उपयोग करके जो एक्सटेंशन को शक्ति प्रदान करता है)
  4. संसाधित पाठ सीधे ChatGPT को प्रस्तुत किया जाता है

इस आर्किटेक्चर में, उपयोगकर्ता के ब्राउज़र से केवल अंतिम संसाधित पाठ AI सेवा को प्रस्तुत किया जाता है। एक्सटेंशन डेवलपर की अवसंरचना डेटा पथ में कभी नहीं होती।

किसी भी AI गोपनीयता एक्सटेंशन से पूछने के लिए प्रश्न: प्रसंस्करण कहाँ होता है? यदि उत्तर एक्सटेंशन के अपने सर्वरों से संबंधित है, तो आपका डेटा एक तीसरे पक्ष के माध्यम से बह रहा है।

AI गोपनीयता एक्सटेंशन स्थापित करने से पहले पूछने के लिए पांच प्रश्न

चूंकि 67% AI Chrome एक्सटेंशन उपयोगकर्ता डेटा एकत्र करते हैं (Incogni शोध), और चूंकि दुर्भावनापूर्ण एक्सटेंशन Chrome वेब स्टोर पर सैकड़ों हजारों उपयोगकर्ताओं के साथ दिखाई दे सकते हैं, मूल्यांकन ढांचा महत्वपूर्ण है।

1. PII पहचान कहाँ संसाधित होती है? प्रत्यक्ष रूप से पूछें या गोपनीयता नीति में खोजें: क्या PII पहचान ब्राउज़र में स्थानीय रूप से की जाती है, या क्या पाठ विश्लेषण के लिए एक्सटेंशन के बैकएंड सर्वरों पर भेजा जाता है? स्थानीय प्रसंस्करण का अर्थ है कि एक्सटेंशन डेवलपर कभी भी आपका पाठ नहीं देखता।

2. बातचीत की सामग्री का क्या होता है? जो एक्सटेंशन "सुरक्षित" करते हैं, वे अपने प्रॉक्सी सर्वरों के माध्यम से रूटिंग करके आपके द्वारा टाइप की गई सभी चीजों तक पूर्ण पहुंच रखते हैं। जो एक्सटेंशन स्थानीय रूप से पाठ को संशोधित करते हैं और सीधे AI सेवा को प्रस्तुत करते हैं, उनके पास नहीं होता।

3. सत्यापित प्रकाशक कौन है? Chrome वेब स्टोर का प्रकाशक सत्यापन प्रणाली अपूर्ण है — जनवरी 2026 के एक्सटेंशन पास हुए — लेकिन एक सत्यापित प्रकाशक जिसकी स्थापित पहचान और डेटा संग्रह से स्वतंत्र व्यावसायिक मॉडल है, एक अज्ञात प्रकाशक की तुलना में अधिक विश्वसनीय है जिसका कोई स्पष्ट राजस्व मॉडल नहीं है।

4. क्या स्वतंत्र सुरक्षा प्रमाणन है? ISO 27001 प्रमाणन विक्रेता के सूचना सुरक्षा प्रबंधन प्रणाली को कवर करता है, जिसमें उनके एक्सटेंशन विकास और वितरण प्रथाएँ शामिल हैं। स्वतंत्र सुरक्षा ऑडिट किए गए दावों की बाहरी पुष्टि प्रदान करते हैं।

5. व्यावसायिक मॉडल क्या है? सबसे स्थायी संकेत: यह मुफ्त एक्सटेंशन डेवलपर पैसे कैसे कमाता है? यदि कोई स्पष्ट राजस्व मॉडल नहीं है, तो उपयोगकर्ता डेटा संभवतः उत्पाद है। एक एक्सटेंशन जो एक भुगतान किए गए SaaS उत्पाद का हिस्सा है जिसमें एक सत्यापनीय व्यावसायिक मॉडल है, उपयोगकर्ता डेटा को गुप्त रूप से मुद्रीकरण करने के लिए कम प्रोत्साहन रखता है।

जनवरी 2026 की घटना AI सुरक्षा के बारे में क्या प्रकट करती है

जनवरी 2026 में 900,000+ प्रभावित उपयोगकर्ता असाधारण नहीं थे। वे पेशेवर थे जिन्होंने AI उत्पादकता उपकरणों की खोज की थी, जो अपनी AI इंटरैक्शन के लिए गोपनीयता संरक्षण चाहते थे, और जिन्होंने Chrome वेब स्टोर से जो वैध उपकरण प्रतीत होते थे, उन्हें स्थापित किया था।

हमला सफल रहा क्योंकि:

एक्सटेंशनों ने वास्तविक कार्यक्षमता प्रदान की: वे पूरी तरह से दुर्भावनापूर्ण नहीं थे — उन्होंने निष्कासन के साथ-साथ AI-संबंधित सुविधाएँ प्रदान कीं। इसने उन्हें आकस्मिक उपयोग के दौरान वैध उपकरणों से कार्यात्मक रूप से भिन्नता रहित बना दिया।

विश्वास संकेत बनाए गए: सैकड़ों हजारों उपयोगकर्ता सामाजिक प्रमाण उत्पन्न करते हैं। जिन्होंने 600,000 इंस्टॉलेशन देखे, वे स्थापित करने की अधिक संभावना रखते थे, कम नहीं।

अनुमति अनुरोध को चिंता को ट्रिगर न करने के लिए डिज़ाइन किया गया था: "गोपनीय, गैर-पहचान योग्य विश्लेषण" ठीक वही प्रकार की अनुमति भाषा है जिसे उपयोगकर्ता बिना जांच के मंजूरी देते हैं।

निष्कासन को पहचान को कम करने के लिए निर्धारित किया गया था: 30-मिनट के अंतराल सभी बातचीत को कैप्चर करने के लिए पर्याप्त बार-बार होते हैं लेकिन असामान्यता-आधारित सुरक्षा निगरानी को ट्रिगर करने से बचने के लिए पर्याप्त कम होते हैं।

घटना के बाद का विश्वास ढांचा

जनवरी 2026 की घटना के बाद, एंटरप्राइज IT टीमें जो अपने कार्यबल के लिए AI गोपनीयता एक्सटेंशनों का मूल्यांकन कर रही हैं, उन्हें पहले से अधिक कठोर विश्वास ढांचे को लागू करना चाहिए।

न्यूनतम आवश्यक तत्व:

  • स्थानीय प्रसंस्करण आर्किटेक्चर — तकनीकी समीक्षा या स्वतंत्र ऑडिट द्वारा सत्यापित, केवल मार्केटिंग में दावा नहीं किया गया
  • प्रकाशक पहचान सत्यापन — स्थापित कंपनी जिसमें सत्यापनीय व्यावसायिक मॉडल और इतिहास हो
  • स्वतंत्र सुरक्षा प्रमाणन — ISO 27001 या समकक्ष
  • गोपनीयता नीति जो विशेष रूप से एक्सटेंशन डेटा प्रवाह को संबोधित करती है — जिसमें क्या एकत्र किया जाता है, इसे कहाँ भेजा जाता है, और किन परिस्थितियों में
  • गोपनीयता कार्यक्षमता के लिए एक्सटेंशन डेवलपर के सर्वरों के माध्यम से कोई रूटिंग नहीं

जो संगठन AI एक्सटेंशनों को सैकड़ों या हजारों कर्मचारियों को तैनात करते हैं, उन्हें यह भी विचार करना चाहिए:

  • डेटा निष्कासन व्यवहार के लिए स्थापित एक्सटेंशनों का नियमित ऑडिट
  • ब्राउज़र प्रक्रियाओं से अप्रत्याशित बाहरी कनेक्शनों का पता लगाने के लिए नेटवर्क निगरानी
  • Chrome एंटरप्राइज नीति के माध्यम से तैनात स्वीकृत एक्सटेंशनों की अनुमति सूचियाँ

जनवरी 2026 की घटना एक चेतावनी थी। AI एक्सटेंशनों में 67% डेटा संग्रह दर यह सुझाव देती है कि चेतावनी उचित थी।

anonym.legal का Chrome एक्सटेंशन PII पहचान को स्थानीय रूप से संसाधित करता है — PII पहचान के दौरान बातचीत की सामग्री anonym.legal के सर्वरों पर नहीं भेजी जाती। गुमनामी ब्राउज़र में होती है इससे पहले कि संशोधित प्रॉम्प्ट AI सेवा को प्रस्तुत किया जाए। प्रकाशित anonym.legal द्वारा, ISO 27001 प्रमाणित।

स्रोत:

संबंधित लेख

AI सुरक्षा

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

AI सुरक्षा

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

AI सुरक्षा

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

क्या आप अपने डेटा की सुरक्षा के लिए तैयार हैं?

48 भाषाओं में 285+ संस्थाओं के प्रकारों के साथ PII अनामकरण शुरू करें।

फ्री ट्रायल शुरू करेंविशेषताएँ देखें