Hendelsen i januar 2026
To Chrome-utvidelser oppdaget i januar 2026 — "Chat GPT for Chrome med GPT-5, Claude Sonnet og DeepSeek AI" (600 000+ brukere) og "AI Sidebar med Deepseek, ChatGPT, Claude og mer" (300 000+ brukere) — ble funnet å eksfiltrere komplette AI-samtalehistorier hvert 30. minutt til en ekstern kommandoserver.
Utvidelsene presenterte seg som verktøy for personvern og AI-forbedring. Deres beskrivelser i Chrome Web Store la vekt på beskyttelse av brukerdata og design med fokus på personvern. Deres faktiske oppførsel — bekreftet av Astrix Securitys analyse — var å fange komplette samtalehistorier fra ChatGPT, DeepSeek og andre AI-plattformer, og deretter overføre dem til en server kontrollert av angriperen. De fangede samtalene inkluderte kildekode, personlig identifiserbar informasjon, juridiske strategidiskusjoner, forretningsplaner og finansielle data.
Utvidelsene ba om tillatelse til å "samle inn anonyme, ikke-identifiserbare analyse-data." De samlet faktisk inn helt identifiserbare, svært sensitive data med maksimal presisjon.
Problemet med sikkerhetsinversjon
Brukere som spesifikt installerer AI-personvernutvidelser uttrykker en preferanse for verktøy som beskytter deres AI-samtaler. Hendelsen i januar 2026 dokumenterte det verste utfallet av den preferansen: verktøyet installert for personvernformål er i seg selv mekanismen for dataeksfiltrering.
Dette er ikke bare en risiko som skal veies — det er et dokumentert utfall som påvirker 900 000 brukere samtidig. Den automatiserte skanningen i Chrome Web Store oppdaget ikke den ondsinnede oppførselen fordi datainnsamlingen fra utvidelsene var forkledd som analyser. Brukeranmeldelsene avslørte ikke problemet fordi brukerne ikke hadde innsyn i nettverkstrafikken.
Incogni sin forskning fant at 67 % av AI Chrome-utvidelser aktivt samler inn brukerdata — et tall som inkluderer både offentliggjort analyseinnsamling og uoppgitt eksfiltrering. Det meningsfulle spørsmålet for IT-team i bedrifter som implementerer AI-personvernutvidelser er ikke "samler denne utvidelsen inn data?" men "kan jeg verifisere at denne utvidelsens dataflyt er arkitektonisk ute av stand til å eksfiltrere samtaleinnhold?"
Verifiseringstesten for arkitektur
Verifiseringstesten for pålitelig lokal behandling er teknisk, ikke deklarativ: kan utvidelsens påståtte lokale behandling uavhengig verifiseres ved nettverksmonitorering?
En utvidelse som behandler PII-detektering lokalt — kjører deteksjonsmodellen klient-side ved hjelp av TensorFlow.js, WASM, eller en lokal binær — produserer null utgående nettverkstrafikk under PII-detekteringsfasen. Nettverksmonitorering på brukerens arbeidsstasjon bør ikke vise noen tilkobling til noen ekstern server mellom brukerens innlimingshendelse og innsendingen til AI-plattformen. Den eneste utgående trafikken bør være den anonymiserte forespørselen som går til AI-leverandøren.
En utvidelse som ruter trafikk gjennom en proxy-server — selv om proxyen beskrives som en "personvernsbevarende relé" — sender brukerinnhold til en tredjepartsserver. Sikkerheten til proxyens operatør er nå en del av brukerens trusselmodell.
For IT-team i bedrifter som legger til nettleserutvidelser på den godkjente listen, er verifiseringsprotokollen: distribuer utvidelsen i et overvåket nettverksmiljø, generer representativ testtrafikk, og verifiser at det ikke skjer noen utgående tilkobling til utvidelsens utgiver-servere under PII-behandling. Utvidelser som ikke kan bestå denne testen bør ikke godkjennes for bedriftsdistribusjon uansett hvilke personvernbekreftelser de måtte ha.
Den lokale behandlingsarkitekturen — der all deteksjon kjøres klient-side uten server-side komponent for anonymiseringstrinnet — er den arkitektoniske egenskapen som gjør utvidelsens personvernkrav uavhengig verifiserbare, i stedet for å kreve tillit til utgiverens påstander.
Kilder: