Problemet med urevurderte utvidelser
Chrome Nettbutikk inneholder over 180 000 utvidelser. Mange av disse utvidelsene — spesielt de som legger til AI-funksjoner til nettlesing — ber om brede tillatelser: tilgang til alt innhold på nettsteder, tilgang til utklippstavle, tilgang til lagring og avlytting av nettverksforespørsel.
USENIX 2025-forskning fant at 83% av Chrome-utvidelser med brede tillatelser aldri har gjennomgått en sikkerhetsrevisjon. Disse utvidelsene ble opprettet, publisert og installert av millioner av brukere uten noen uavhengig verifisering av at de gjør det de påstår — og ikke mer.
Sikkerhetsrevisjonsgapet er et strukturelt trekk ved hvordan nettleserutvidelser distribueres. Chrome Nettbutikk utfører automatisert skanning for skadelig programvare og brudd på retningslinjer, men automatisert skanning kan ikke evaluere om en utvidelses datainnsamlingspraksis er nøyaktig oppgitt, om API-data overføres til ikke-offentliggjorte tredjeparter, eller om utvidelsens oppgitte funksjonalitet er dens komplette funksjonalitet.
Bedriftsutsettelse
Forrester Research 2024 fant at 45% av ansatte i bedrifter bruker nettleserutvidelser som ikke er godkjent av IT. Tallet reflekterer den uformelle måten nettleserutvidelser vanligvis blir adoptert på: en ansatt finner et produktivitetsverktøy, installerer det og bruker det — uten noen interaksjon med IT-avdelingen.
Kombinasjonen av 83% aldri-revidert og 45% ikke-godkjent betyr at nesten halvparten av ansatte i bedrifter bruker utvidelser hvis sikkerhetsegenskaper ikke har blitt verifisert av noen — og hvis bruk ikke har blitt godkjent av organisasjonen som er ansvarlig for dataene de ansatte håndterer.
For organisasjoner i regulerte industrier skaper dette direkte etterlevelsesutsettelse. En HR-ansatt som bruker en ikke-godkjent nettleserutvidelse som samler inn innhold fra utklippstavlen har potensielt eksponert ansattes personopplysninger til en uscreenet tredjepart. En juridisk profesjonell som bruker en ikke-godkjent AI-skriveassistent som får tilgang til sideinnhold har potensielt eksponert konfidensiell informasjon om klienter.
Hva hendelsen med 900K-brukere viser
Hendelsen i januar 2026 der ondsinnede Chrome-utvidelser eksponerte AI-chat-historiene til 900 000 brukere — 600 000 fra én utvidelse, 300 000 fra en annen — illustrerer feilmodus som det 83% urevurderte tallet beskriver.
Utvidelsene så ut til å tilby legitim AI-relatert funksjonalitet. De var tilgjengelige i Chrome Nettbutikk. De hadde brukerbaser store nok til å antyde legitimitet. Og de eksfiltrerte AI-samtaleinnhold til eksterne servere.
Eksfiltreringen var fullført innen 30 minutter etter installasjon. Innen sikkerhetsforskere identifiserte og rapporterte utvidelsene, hadde samtaleinnholdet til 900 000 brukere — inkludert hvilken som helst sensitiv informasjon de brukerne hadde diskutert med AI-verktøy — forlatt deres kontroll.
Forskning fra Caviard.ai (2025) fant at 67% av AI Chrome-utvidelser samler inn brukerdata — flertallet av AI-utvidelseskategorien. Av de som samler inn data, varierer opplysningene, sikkerhetspraksisene og overføringsmålene enormt.
Rammeverket for bedriftsnettleserstyring
For sikkerhetsteam i bedrifter er den riktige responsen på problemet med urevurderte utvidelser ikke å forby alle nettleserutvidelser — den operative innvirkningen av den tilnærmingen er betydelig. Det er å etablere et styringsrammeverk som begrenser eksponering for reviderte, godkjente utvidelser for AI-funksjonalitet spesifikt.
Tillatelsesliste for utvidelser: Definer den godkjente listen over nettleserutvidelser for bedriftsenheter. Sikkerhetsteamets gjennomgang før tillegg til listen. Chrome Enterprise-retningslinjehåndheving forhindrer installasjon av ikke-tillatte utvidelser.
AI-spesifikk utvidelsesvurdering: Utvidelser som behandler AI-forespørsel får ekstra oppmerksomhet — nettverkstrafikanalyse for å bekrefte overføringsmål, gjennomgang av tillatelsesomfang og verifisering av utgiveridentitet.
Tekniske kontroller for AI-innhold: For ansatte som bruker godkjente AI-verktøy, fanger nettlesernivå tekniske kontroller (i stedet for å stole på utvidelsesadferd) sensitivt innhold før det når AI-leverandører. Dette skiller sikkerhetsforpliktelsen fra tillit til individuelle utvidelser.
Den 83% urevurderte raten kan ikke adresseres gjennom brukerutdanning — brukere kan ikke revidere Chrome-utvidelser selv. Den kan adresseres gjennom bedriftsstyring som skiller mellom godkjente og ikke-godkjente, og gjennom tekniske kontroller som gir databeskyttelse uavhengig av utvidelsesadferd.
Kilder:
- USENIX Security 2025: "Jeg har ingen anelse om hvordan jeg kan gjøre det tryggere" — Sikkerhetstanker hos utviklere av nettleserutvidelser
- LayerX 2025: Sikkerhetsrapport for bedriftsnettleserutvidelser — utbredt bruk av ikke-godkjente utvidelser
- Incogni 2025: 67% av AI Chrome-utvidelser samler inn brukerdata