2026年1月の事件
2026年1月に発見された2つのChrome拡張機能 — "Chat GPT for Chrome with GPT-5, Claude Sonnet and DeepSeek AI"(60万人以上のユーザー)と"AI Sidebar with Deepseek, ChatGPT, Claude and more"(30万人以上のユーザー) — は、30分ごとに完全なAI会話履歴をリモートのコマンド・アンド・コントロールサーバーに流出させていることが判明しました。
これらの拡張機能は、プライバシーとAIの強化ツールとして自らを提示していました。Chromeウェブストアの説明では、ユーザーデータの保護とプライバシー優先の設計が強調されていました。しかし、Astrix Securityの分析によって確認された実際の行動は、ChatGPT、DeepSeek、および他のAIプラットフォームから完全な会話履歴をキャプチャし、それを攻撃者が制御するサーバーに送信することでした。キャプチャされた会話には、ソースコード、個人を特定できる情報、法的戦略の議論、ビジネスプラン、財務データが含まれていました。
拡張機能は「匿名で非識別の分析データを収集する」ための許可を要求しましたが、実際には完全に識別可能で非常に機密性の高いデータを最大限の忠実度で収集していました。
セキュリティの逆転問題
AIプライバシー拡張機能を特にインストールするユーザーは、自分のAI会話を保護するツールを好むことを表明しています。2026年1月の事件は、その好みの最悪の結果を文書化しました:プライバシー目的でインストールされたツール自体がデータ流出メカニズムであるということです。
これは単なるリスクではなく、90万人のユーザーに同時に影響を与える文書化された結果です。Chromeウェブストアの自動スキャンは、拡張機能のデータ収集が分析として偽装されていたため、悪意のある行動を検出できませんでした。ユーザーレビューは、ユーザーがネットワークトラフィックを可視化できなかったため、問題を明らかにしませんでした。
Incogniの調査によると、67%のAI Chrome拡張機能が積極的にユーザーデータを収集しています — これは、開示された分析収集と未開示の流出の両方を含む数字です。AIプライバシー拡張機能を展開する企業ITチームにとっての重要な質問は、「この拡張機能はデータを収集しますか?」ではなく、「この拡張機能のデータフローが会話内容を流出させることが構造的に不可能であることを確認できますか?」です。
アーキテクチャ検証テスト
信頼できるローカル処理の検証テストは、宣言的ではなく技術的です:拡張機能の主張されたローカル処理がネットワーク監視によって独立して検証できるかどうかです。
PII検出をローカルで処理する拡張機能 — TensorFlow.js、WASM、またはローカルバイナリを使用してクライアント側で検出モデルを実行する — は、PII検出フェーズ中に外向きのネットワークトラフィックをゼロにします。ユーザーのワークステーションでのネットワーク監視は、ユーザーのペーストイベントとAIプラットフォームへの送信の間に外部サーバーへの接続がないことを示すべきです。唯一の外向きトラフィックは、AIプロバイダーに送信される匿名化されたプロンプトであるべきです。
トラフィックをプロキシサーバーを通じてルーティングする拡張機能 — プロキシが「プライバシーを保護する中継」として説明されている場合でも — は、ユーザーコンテンツをサードパーティのサーバーに送信します。プロキシの運営者のセキュリティは、ユーザーの脅威モデルの一部となります。
企業ITチームが企業承認リストにブラウザ拡張機能を追加するための検証プロトコルは、監視されたネットワーク環境で拡張機能を展開し、代表的なテストトラフィックを生成し、PII処理中に拡張機能の発行者のサーバーへの外向き接続が発生しないことを確認することです。このテストに合格できない拡張機能は、発表されたプライバシーの約束にかかわらず、企業展開の承認を受けるべきではありません。
すべての検出がクライアント側で実行され、匿名化ステップにサーバー側のコンポーネントがないローカル処理アーキテクチャは、拡張機能のプライバシー主張を独立して検証可能にするアーキテクチャ特性であり、発行者の主張に対する信頼を必要としません。
出典: