जनवरी 2026 की घटना
2026 के लिए अपडेट किया गया। जनवरी 2026 में, दो दुर्भावनापूर्ण Chrome ऐड-ऑन 900,000+ यूज़र्स के साथ पकड़े गए।
उनके नाम असली AI टूल्स जैसे लगते थे:
- "Chat GPT for Chrome with GPT-5, Claude Sonnet and DeepSeek AI" — 600,000+ यूज़र्स
- "AI Sidebar with Deepseek, ChatGPT, Claude and more" — 300,000+ यूज़र्स
दोनों एक ही काम करते थे। हर 30 मिनट में, वे पूरी AI चैट्स एक रिमोट सर्वर पर भेजते थे। चोरी किए गए डेटा में कोड, व्यक्तिगत विवरण, कानूनी नोट्स और व्यावसायिक योजनाएँ शामिल थीं। Astrix Security ने इसकी पुष्टि की।
इन ऐड-ऑन ने "गुमनाम, गैर-पहचान योग्य एनालिटिक्स डेटा एकत्र करने" की अनुमति माँगी थी। यह शब्दावली सुरक्षित लगती है। लेकिन यह नहीं थी। एकत्र किया गया डेटा पूरी तरह से पहचान योग्य और अत्यंत संवेदनशील था।
सुरक्षा उलटाव की समस्या
जो यूज़र्स AI प्राइवेसी टूल्स इंस्टॉल करते हैं, वे सुरक्षा चाहते हैं। जनवरी 2026 का मामला सबसे बुरा परिणाम दिखाता है: जो टूल आपने प्राइवेसी के लिए इंस्टॉल किया था, वही आपका डेटा चुरा रहा था।
यह कोई सिद्धांत नहीं है। यह 900,000 यूज़र्स के साथ एक साथ हुआ। Chrome Web Store स्कैनिंग ने इसे नहीं पकड़ा। यूज़र समीक्षाओं ने इसे नहीं उजागर किया। चोरी को "एनालिटिक्स" के रूप में छिपाया गया था।
Incogni ने पाया कि 67% AI Chrome ऐड-ऑन सक्रिय रूप से यूज़र डेटा एकत्र करते हैं। IT टीमों के लिए मुख्य प्रश्न यह नहीं है कि "क्या यह कोई डेटा एकत्र करता है?" बल्कि यह है: "क्या मैं सत्यापित कर सकता हूँ कि यह ऐड-ऑन बातचीत सामग्री किसी तीसरे पक्ष को नहीं भेज सकता?"
आर्किटेक्चर सत्यापन परीक्षण
स्थानीय प्रोसेसिंग के लिए एक विश्वसनीय जाँच है: नेटवर्क मॉनिटरिंग।
एक ऐड-ऑन जो PII को स्थानीय रूप से डिटेक्ट करता है, डिटेक्शन के दौरान शून्य आउटबाउंड ट्रैफ़िक उत्पन्न करता है। यूज़र के पेस्ट और AI प्लेटफ़ॉर्म सबमिशन के बीच किसी बाहरी सर्वर से कोई कनेक्शन नहीं होना चाहिए। केवल प्रोसेस किया गया प्रॉम्प्ट बाहर जाता है।
एक ऐड-ऑन जो प्रॉक्सी के माध्यम से ट्रैफ़िक रूट करता है, आपकी सामग्री को थर्ड-पार्टी सर्वर पर भेजता है। वह सर्वर ऑपरेटर अब आपके थ्रेट मॉडल के अंदर है।
IT सत्यापन चरण सरल हैं:
- ऐड-ऑन को एक मॉनिटर किए गए नेटवर्क में डेप्लॉय करें
- टेस्ट प्रॉम्प्ट चलाएँ
- PII प्रोसेसिंग के दौरान पब्लिशर के सर्वरों पर आउटबाउंड कनेक्शन की जाँच करें
अगर यह परीक्षण में विफल हो, तो इसे स्वीकृत न करें। मार्केटिंग दावे मायने नहीं रखते। नेटवर्क ट्रैफ़िक ही प्रमाण है।
स्थानीय प्रोसेसिंग भरोसेमंद है क्योंकि यह सत्यापन योग्य है। आपको पब्लिशर पर भरोसा करने की ज़रूरत नहीं है। आप व्यवहार को सीधे देख सकते हैं। देखें कि anonym.legal यह कैसे संभालता है Chrome एक्सटेंशन सुरक्षा अवलोकन और कम्प्लायंस गाइड में।
IT टीमों को क्या चाहिए
जनवरी 2026 के बाद, AI ब्राउज़र टूल्स के लिए मानक ऊँचा होना चाहिए।
न्यूनतम सूची:
- स्थानीय प्रोसेसिंग — नेटवर्क ऑडिट द्वारा सत्यापित, केवल दावा नहीं
- ज्ञात पब्लिशर — वास्तविक कंपनी, स्पष्ट व्यावसायिक मॉडल
- स्वतंत्र प्रमाणन — ISO 27001 या समकक्ष
- कोर प्राइवेसी फ़ीचर्स के लिए डेवलपर-सर्वर रूटिंग नहीं
अधिकांश AI ब्राउज़र ऐड-ऑन इस सूची को पास नहीं करेंगे। 67% संग्रह दर यही स्पष्ट करती है। अधिक इंस्टॉल संख्या सुरक्षा का संकेत नहीं है। जनवरी 2026 के टूल्स के सैकड़ों हजारों यूज़र्स थे — जब तक किसी ने जाँच नहीं की।
सुरक्षित AI ब्राउज़र टूल्स के बारे में अधिक जानकारी के लिए, देखें सुरक्षा और कम्प्लायंस पेज।