Dua Ekstensi, 900.000 Korban
Pada Januari 2026, peneliti keamanan mengungkapkan dua ekstensi Chrome berbahaya yang telah beroperasi selama berbulan-bulan: mereka secara diam-diam mencuri percakapan AI dari lebih dari 900.000 pengguna.
Keduanya memiliki desain yang bersih dan peringkat tinggi. Salah satunya memiliki lencana "Featured" Google.
Ini bukan insiden terisolasi — ini adalah kerentanan struktural dalam ekosistem ekstensi browser.
Cara Ekstensi Berbahaya Menghindari Deteksi
Penyerang yang canggih menggunakan serangkaian taktik untuk melewati tinjauan Google:
1. Pengiriman Awal yang Bersih
Versi asli ekstensi sepenuhnya tidak berbahaya. Ini melewati tinjauan Google dan membangun basis pengguna serta kepercayaan.
2. Pembaruan Bertahap
Setelah mendapatkan kepercayaan, pembaruan kecil secara bertahap memperkenalkan fungsionalitas pengumpulan data. Tidak ada pembaruan tunggal yang dramatis yang memicu alarm.
3. Obfuscation Kode
Kode pengumpulan data dikaburkan menggunakan teknik enkripsi JavaScript yang sah, sehingga sulit dibedakan dari kode produk yang sah.
4. Pengiriman Data Lambat
Data dikirimkan dalam jumlah kecil selama periode waktu yang lama, meniru pola lalu lintas jaringan yang normal.
Cara Mengevaluasi Ekstensi Browser AI
Ketika mempertimbangkan ekstensi browser AI apa pun, tanyakan pertanyaan ini:
Pertanyaan Teknis
- Di mana data diproses — secara lokal atau di server jarak jauh?
- Izin apa yang diminta ekstensi?
- Apakah ekstensi memiliki akses ke semua situs web atau hanya situs tertentu?
- Seberapa sering ekstensi diperbarui, dan apa yang berubah?
Tanda Bahaya
- Izin yang berlebihan (akses ke semua URL)
- Pengembang tanpa sejarah atau transparansi
- Kurangnya dokumentasi teknis tentang arsitektur privasi
- Tidak ada kebijakan privasi yang jelas tentang pemrosesan data
Tanda Kepercayaan
- Pemrosesan lokal yang dapat diverifikasi (tidak ada transmisi data eksternal)
- Kode sumber terbuka atau dapat diaudit
- Jejak rekam pengembang yang jelas
- Izin minimal yang diperlukan
Pendekatan anonym.legal terhadap Kepercayaan Ekstensi
Ekstensi Chrome anonym.legal dirancang dengan prinsip kepercayaan minimal:
| Fitur | Detail |
|---|---|
| Pemrosesan lokal | Deteksi PII terjadi di browser Anda |
| Izin minimal | Hanya mengakses halaman AI yang diaktifkan pengguna |
| Tidak ada cookie pihak ketiga | Tidak ada pelacakan lintas situs |
| API terbuka | Endpoint API yang terdokumentasi |
| Kebijakan privasi yang jelas | Apa yang diproses, berapa lama disimpan |
Langkah-Langkah Perlindungan Segera
Jika Anda menginstal ekstensi browser AI:
- Audit ekstensi yang ada: Buka
chrome://extensions/dan tinjau semua izin - Hapus ekstensi yang mencurigakan: Terutama yang memiliki akses luas tanpa kejelasan tujuan
- Periksa pembaruan baru-baru ini: Ekstensi yang diperbarui secara tiba-tiba mungkin mencurigakan
- Cari laporan keamanan: Cari nama ekstensi + "malware" atau "keamanan"
Kesimpulan
Insiden 900.000 pengguna membuktikan bahwa lencana "Featured" Google dan peringkat tinggi tidak menjamin keamanan. Satu-satunya cara untuk benar-benar melindungi percakapan AI Anda adalah dengan memilih ekstensi yang memproses data secara lokal dan memiliki transparansi tentang cara kerjanya.
Sumber: