Il Problema delle Estensioni Non Verificate
Il Chrome Web Store contiene oltre 180.000 estensioni. Molte di queste estensioni — in particolare quelle che aggiungono funzionalità AI alla navigazione web — richiedono ampie autorizzazioni: accesso a tutto il contenuto del sito web, accesso agli appunti, accesso allo storage e intercettazione delle richieste di rete.
La ricerca USENIX 2025 ha rilevato che l'83% delle estensioni di Chrome con ampie autorizzazioni non ha mai subito un audit di sicurezza. Queste estensioni sono state create, pubblicate e installate da milioni di utenti senza alcuna verifica indipendente che confermi che facciano ciò che affermano — e nulla di più.
Il divario di audit di sicurezza è una caratteristica strutturale di come vengono distribuite le estensioni del browser. Il Chrome Web Store esegue una scansione automatizzata per firme di malware e violazioni delle politiche, ma la scansione automatizzata non può valutare se le pratiche di raccolta dati di un'estensione siano divulgate accuratamente, se i dati API vengano trasmessi a terzi non divulgati, o se la funzionalità dichiarata dell'estensione sia la sua funzionalità completa.
L'Esposizione delle Imprese
La ricerca di Forrester 2024 ha trovato che il 45% dei dipendenti delle imprese utilizza estensioni del browser non approvate dall'IT. La cifra riflette il modo informale in cui le estensioni del browser vengono tipicamente adottate: un dipendente trova uno strumento di produttività, lo installa e lo utilizza — senza alcuna interazione con il dipartimento IT.
La combinazione dell'83% non auditato e del 45% non approvato significa che quasi la metà dei dipendenti delle imprese sta utilizzando estensioni le cui proprietà di sicurezza non sono state verificate da nessuno — e il cui utilizzo non è stato autorizzato dall'organizzazione responsabile dei dati gestiti da quei dipendenti.
Per le organizzazioni in settori regolamentati, questo crea un'esposizione diretta alla conformità. Un dipendente HR che utilizza un'estensione del browser non approvata che raccoglie contenuti dagli appunti ha potenzialmente esposto i dati personali dei dipendenti a un terzo non controllato. Un professionista legale che utilizza un assistente alla scrittura AI non approvato che accede al contenuto della pagina ha potenzialmente esposto informazioni riservate dei clienti.
Cosa Dimostra l'Incidente dei 900K Utenti
L'incidente di gennaio 2026 in cui estensioni malevole di Chrome hanno esposto le cronologie delle chat AI di 900.000 utenti — 600.000 da un'estensione, 300.000 da un'altra — illustra il modo di fallimento che la cifra dell'83% non auditato descrive.
Le estensioni sembravano fornire funzionalità legittime legate all'AI. Erano disponibili nel Chrome Web Store. Avevano basi di utenti abbastanza grandi da suggerire legittimità. E stavano esfiltrando contenuti delle conversazioni AI a server esterni.
L'esfiltrazione era completa entro 30 minuti dall'installazione. Quando i ricercatori di sicurezza hanno identificato e segnalato le estensioni, il contenuto delle conversazioni di 900.000 utenti — inclusa qualsiasi informazione sensibile di cui quegli utenti avessero discusso con strumenti AI — era uscito dal loro controllo.
La ricerca di Caviard.ai (2025) ha trovato che il 67% delle estensioni AI di Chrome raccoglie dati degli utenti — la maggior parte della categoria delle estensioni AI. Di quelle che raccolgono dati, la divulgazione, le pratiche di sicurezza e le destinazioni di trasmissione variano enormemente.
Il Quadro di Governance del Browser per le Imprese
Per i team di sicurezza delle imprese, la risposta appropriata al problema delle estensioni non verificate non è vietare tutte le estensioni del browser — l'impatto operativo di questo approccio è significativo. È stabilire un quadro di governance che limita l'esposizione a estensioni approvate e verificate per funzionalità AI specifiche.
Allowlisting delle estensioni: Definire l'elenco approvato delle estensioni del browser per i dispositivi aziendali. Revisione del team di sicurezza prima dell'aggiunta all'elenco. L'applicazione della politica di Chrome Enterprise impedisce l'installazione di estensioni non autorizzate.
Verifica specifica delle estensioni AI: Le estensioni che elaborano prompt AI ricevono un'ulteriore attenzione — analisi del traffico di rete per confermare le destinazioni di trasmissione, revisione dell'ambito delle autorizzazioni e verifica dell'identità dell'editore.
Controlli tecnici per i contenuti AI: Per i dipendenti che utilizzano strumenti AI approvati, controlli tecnici a livello di browser (anziché fare affidamento sul comportamento dell'estensione) intercettano contenuti sensibili prima che raggiungano i fornitori AI. Questo disaccoppia l'obbligo di sicurezza dalla fiducia nelle singole estensioni.
Il tasso dell'83% non auditato non è affrontabile attraverso l'educazione degli utenti — gli utenti non possono auditare le estensioni di Chrome da soli. È affrontabile attraverso la governance aziendale che separa approvato da non approvato, e attraverso controlli tecnici che forniscono protezione dei dati indipendentemente dal comportamento dell'estensione.
Fonti:
- USENIX Security 2025: "Non ho idea di come renderlo più sicuro" — Mentalità di Sicurezza degli Sviluppatori di Estensioni del Browser
- LayerX 2025: Rapporto sulla Sicurezza delle Estensioni del Browser per le Imprese — utilizzo diffuso di estensioni non approvate
- Incogni 2025: Il 67% delle estensioni AI di Chrome raccoglie dati degli utenti