A vállalati bővítmény-irányítási válság
A USENIX 2025 Security Symposium megállapítása:
| Metrika | Érték |
|---|---|
| Széles jogosultságú bővítmények soha nem ellenőrizve | 83% |
| Alkalmazottak nem jóváhagyott bővítményekkel | 45% |
| Az AI-célú bővítmények átlagos jogosultságszáma | 7,3 |
| Havi bővítménybiztonsági incidensek | Növekvő trend |
Az „AI-célú" bővítmények különösen problémásak: az összes AI-csevegőszolgáltatáshoz olvasási hozzáférést igényelnek – pontosan azt az adatot, amely a legértékesebb.
A 2026 januári incidens rekapitulálása
Két bővítmény – amelyek AI-fejlesztési eszközöknek tűntek – 900 000+ felhasználó ChatGPT és DeepSeek csevegéseit gyűjtötték össze, majd kiszűrték 30 percenként.
Ezek a bővítmények:
- Pozitív Chrome Webáruházbeli értékelésekkel rendelkeztek
- Nagyszámú telepítéssel rendelkeztek (látszólagos hitelességi bizonyíték)
- Nem igényeltek szokatlan engedélyeket (az AI csevegőolvasás alapjogosultság)
A vállalati irányítási keretrendszer
1. Bővítmény-engedélyezési lista
A legmegbízhatóbb megközelítés: csak jóváhagyott bővítmények telepíthetők a vállalati eszközökhöz.
Megvalósítás:
- Google Workspace Admin: Bővítmény-engedélyezési lista konfigurálható
- Microsoft Intune: Chrome-bővítmény-politikák MDM-en keresztül
- Jamf (Mac): Chrome managed settings configuration profile
2. Bővítmény-kockázat értékelési keretrendszer
Minden bővítmény esetén értékelje:
| Kérdés | Kockázatjelzők |
|---|---|
| Ki az anyavállalat? | Ismeretlen, offshore entitás |
| Harmadik fél által auditálva? | Nem |
| Adatvédelmi politika közzétéve? | Nem |
| Milyen engedélyeket igényel? | Összes domain olvasás |
| Milyen szerverre küld adatokat? | Ismeretlen |
3. Folyamatos felügyelet
Vállalati szinten:
- Bővítmény-telepítési változás figyelmeztetések
- Szokatlan hálózati kérelmek bővítmény-folyamatoktól
- Rendszeres bővítmény-ellenőrzési auditok
Az anonym.legal megközelítése az irányítható AI-bővítmény esetén
Az anonym.legal Chrome-bővítménye:
- Helyi PII-feldolgozás: nincs adat továbbítva a szervereinkre anonimizálás előtt
- Nyílt forrás audit-képes
- Szülővállalat: egyértelmű, EU-s székhelyű
- Adatátvitel: kizárólag anonimizált tokenek
- Vállalati telepítési opció: MDM-kezelt konfigurációval
Következtetés
A vállalati AI bővítmény-irányítás nem opcionális. A 83%-os nem ellenőrzött bővítmény-arányt kombinálva azzal, hogy az AI-csevegőbővítmények hozzáférnek a legérzékenyebb vállalati kommunikációhoz, ez a valódi biztonsági kockázat.
Az anonym.legal auditálható, vállalati-grade megközelítést kínál az AI-csevegőadatvédelemhez.