L'incidente di gennaio 2026
Due estensioni di Chrome scoperte a gennaio 2026 — "Chat GPT for Chrome with GPT-5, Claude Sonnet and DeepSeek AI" (oltre 600.000 utenti) e "AI Sidebar with Deepseek, ChatGPT, Claude and more" (oltre 300.000 utenti) — sono state trovate a esfiltrare complete storie di conversazione AI ogni 30 minuti a un server di comando e controllo remoto.
Le estensioni si presentavano come strumenti di privacy e miglioramento dell'AI. Le loro descrizioni nel Chrome Web Store enfatizzavano la protezione dei dati degli utenti e un design incentrato sulla privacy. Il loro comportamento reale — confermato dall'analisi di Astrix Security — era quello di catturare complete storie di conversazione da ChatGPT, DeepSeek e altre piattaforme AI, per poi trasmetterle a un server controllato da un attaccante. Le conversazioni catturate includevano codice sorgente, informazioni personali identificabili, discussioni su strategie legali, piani aziendali e dati finanziari.
Le estensioni richiedevano il permesso di "raccogliere dati analitici anonimi e non identificabili." In realtà, raccoglievano dati completamente identificabili e altamente sensibili con la massima fedeltà.
Il problema dell'inversione della sicurezza
Gli utenti che installano specificamente estensioni di privacy AI stanno esprimendo una preferenza per strumenti che proteggono le loro conversazioni AI. L'incidente di gennaio 2026 ha documentato il peggior esito di quella preferenza: lo strumento installato per scopi di privacy è esso stesso il meccanismo di esfiltrazione dei dati.
Questo non è semplicemente un rischio da valutare — è un esito documentato che colpisce simultaneamente 900.000 utenti. La scansione automatizzata del Chrome Web Store non ha rilevato il comportamento malevolo perché la raccolta di dati delle estensioni era mascherata da analisi. Le recensioni degli utenti non hanno rivelato il problema perché gli utenti non avevano visibilità sul traffico di rete.
La ricerca di Incogni ha scoperto che il 67% delle estensioni AI per Chrome raccoglie attivamente dati degli utenti — una cifra che include sia la raccolta di analisi dichiarata che l'esfiltrazione non dichiarata. La domanda significativa per i team IT aziendali che implementano estensioni di privacy AI non è "questa estensione raccoglie dati?" ma "posso verificare che il flusso di dati di quest'estensione sia architettonicamente incapace di esfiltrare il contenuto delle conversazioni?"
Il test di verifica dell'architettura
Il test di verifica per l'elaborazione locale affidabile è tecnico, non dichiarativo: l'elaborazione locale dichiarata dall'estensione può essere verificata in modo indipendente tramite il monitoraggio della rete?
Un'estensione che elabora il rilevamento di PII localmente — eseguendo il modello di rilevamento lato client utilizzando TensorFlow.js, WASM o un binario locale — produce zero traffico di rete in uscita durante la fase di rilevamento di PII. Il monitoraggio della rete sulla workstation dell'utente dovrebbe mostrare nessuna connessione a server esterni tra l'evento di incolla dell'utente e l'invio alla piattaforma AI. L'unico traffico in uscita dovrebbe essere il prompt anonimizzato che va al fornitore di AI.
Un'estensione che instrada il traffico attraverso un server proxy — anche se il proxy è descritto come un "relay che preserva la privacy" — invia il contenuto dell'utente a un server di terze parti. La sicurezza dell'operatore del proxy è ora parte del modello di minaccia dell'utente.
Per i team IT aziendali che aggiungono estensioni del browser all'elenco approvato dall'azienda, il protocollo di verifica è: implementare l'estensione in un ambiente di rete monitorato, generare traffico di test rappresentativo e verificare che non si verifichi alcuna connessione in uscita ai server dell'editore dell'estensione durante l'elaborazione di PII. Le estensioni che non riescono a superare questo test non dovrebbero essere approvate per l'implementazione aziendale, indipendentemente dai loro impegni di privacy dichiarati.
L'architettura di elaborazione locale — in cui tutto il rilevamento viene eseguito lato client senza componente server-side per il passaggio di anonimizzazione — è la proprietà architettonica che rende le affermazioni di privacy dell'estensione verificabili in modo indipendente, piuttosto che richiedere fiducia nelle affermazioni dell'editore.
Fonti: