2026-ra frissítve
A legtöbb AI-bővítményt soha nem auditálják
A Chrome Internetes Áruház több mint 180 000 böngészőbővítménynek ad otthont. Sok közülük – főként az AI-eszközök – széles körű hozzáférést kér. Minden meglátogatott oldalt olvasnak. Látják a vágólapot. Képesek blokkolni vagy módosítani a hálózati kéréseket.
A USENIX Security 2025 megállapítása szerint a széles jogosultságú Chrome-bővítmények 83%-át soha nem auditálták. A fejlesztők megépítették, közzétették, és felhasználók milliói telepítették őket. Senki nem ellenőrizte, hogy minden eszköz valóban csak azt teszi-e, amit állít magáról.
Ez a hiányosság strukturális. A Chrome Internetes Áruház keres ismert kártékony szoftvereket és szabályzati szabálysértéseket, de nem tudja megerősíteni, hogy az adatgyűjtés teljes körűen fel van-e tárva, és nem képes észlelni, hogy adatok rejtett harmadik felekhez áramlanak-e.
A vállalati dolgozók fele jóváhagyatlan eszközöket futtat
A LayerX 2025-ös vállalati böngészőbiztonsági jelentése szerint a vállalati alkalmazottak 45%-a használ olyan böngészőbővítményeket, amelyeket az IT soha nem hagyott jóvá. A minta közismert: egy alkalmazott hasznos eszközt talál, telepíti, az IT soha nem tud róla.
Kombináljuk a 83% auditálatlannal és a 45% jóváhagyatlannal. A vállalati alkalmazottak közel fele olyan eszközöket futtathat, amelyek biztonságát soha nem ellenőrizték. Ezek az alkalmazottak minden nap érzékeny vállalati adatokkal dolgoznak.
Szabályozott szektorokban a kockázat közvetlen. Egy nem ellenőrzött, vágólapot olvasó eszközt használó HR-alkalmazott esetleg személyes adatokat juttatott el egy ismeretlen harmadik félnek. Egy nem ellenőrzött AI-írási eszközt használó ügyvéd esetleg ügyféladatokat juttatott el ismeretlen félnek. Lásd a jogi megfelelőségi útmutatónkat arról, hogyan kapcsolódnak ezek a kockázatok a GDPR-hoz, a HIPAA-hoz és a kapcsolódó keretrendszerekhez.
Mit mutat a 900 000 felhasználót érintő incidens
Egy 2026 elején bejelentett incidens szemlélteti a hibamódot. Rosszindulatú Chrome-bővítmények feltárták közel 900 000 felhasználó AI-csevegési naplóit. Körülbelül 600 000 eset egyetlen eszközből, nagyjából 300 000 egy másikból eredt. Mindkettő valódi AI-funkciókat látszott kínálni. Mindkettő szerepelt a Chrome Internetes Áruházban. Mindkettőnek nagy felhasználói bázisa volt.
Az adatlopás a telepítést követő 30 percen belül befejeződött. Mire a kutatók megtalálták az eszközöket, közel egymillió felhasználó már elvesztette az irányítást AI-csevegési előzményei felett – beleértve az összes érzékeny tartalmat, amelyet beírtak.
Az Incogni 2025-ös tanulmánya szerint az AI Chrome-bővítmények 67%-a gyűjt felhasználói adatokat. A gyűjtési gyakorlatok, a közzétételek és az adatok célpontjai széles körben változnak ebben a csoportban. Lásd a biztonsági és megfelelőségi áttekintőnket arról, hogyan hasonlítanak a böngészőszintű kontrollok az egyes eszközök saját magatartására való hagyatkozáshoz képest.
Vállalati irányítási keretrendszer
Az összes böngészőbővítmény tiltása nem reális – az ára túl magas. A helyes válasz egy olyan irányítási keretrendszer, amely az ellenőrzött, jóváhagyott eszközökre – főként az AI-felhasználásra – korlátozza a kitettséget.
Bővítmény-engedélyezési lista. Határozza meg, mely bővítmények engedélyezettek a vállalati eszközökön. Minden új eszköz hozzáadása előtt biztonsági felülvizsgálatot kell végezni. A Chrome Enterprise házirendjével blokkolja a jóváhagyott listán kívüli telepítéseket.
Szigorúbb felülvizsgálat az AI-eszközöknél. Minden AI-promptokat kezelő bővítmény fokozott ellenőrzést kap. Ellenőrizze a hálózati forgalmat, hogy kiderüljön, hova kerülnek az adatok. Vizsgálja meg a teljes jogosultság-hatókört. Ellenőrizze a kiadó személyazonosságát.
Böngészőrétegű kontrollok. Jóváhagyott AI-eszközök esetén alkalmazzon olyan kontrollokat, amelyek elfogják az érzékeny tartalmakat, mielőtt azok elérnék az AI-szolgáltatókat. Ez megszünteti annak szükségességét, hogy minden bővítmény saját magatartásában bízzunk.
A 83%-os auditálatlan arány nem olyan probléma, amelyet a felhasználók egyedül meg tudnak oldani. A felhasználók nem képesek önállóan auditálni a Chrome-bővítményeket. A vállalati irányítás – jóváhagyott listák, házirendek érvényesítése és technikai kontrollok – a megbízható válasz. Lásd a GYIK-ot és a böngésző DLP-fogalmak szószedetet további információkért.
Az anonym.legal Chrome-bővítménye PII-szkennelést végez helyileg a böngészőben. A szkennelés során semmilyen csevegési tartalom nem kerül az anonym.legal szervereire. Csak a módosított, maszkolt prompt kerül elküldésre az AI-szolgáltatáshoz.