Het Probleem van Niet-geauditeerde Extensies
De Chrome Web Store bevat meer dan 180.000 extensies. Veel van deze extensies — vooral die welke AI-functionaliteiten aan webbrowsering toevoegen — vragen om brede machtigingen: toegang tot alle website-inhoud, toegang tot het klembord, toegang tot opslag en onderschepping van netwerkverzoeken.
Onderzoek van USENIX 2025 heeft aangetoond dat 83% van de Chrome-extensies met brede machtigingen nooit een beveiligingsaudit heeft ondergaan. Deze extensies zijn gemaakt, gepubliceerd en geïnstalleerd door miljoenen gebruikers zonder enige onafhankelijke verificatie dat ze doen wat ze claimen — en niets meer.
De kloof in beveiligingsaudits is een structureel kenmerk van hoe browserextensies worden verspreid. De Chrome Web Store voert automatische scans uit op malwarehandtekeningen en beleidsinbreuken, maar automatische scans kunnen niet evalueren of de gegevensverzamelingspraktijken van een extensie nauwkeurig worden onthuld, of API-gegevens worden verzonden naar niet-onthulde derden, of de verklaarde functionaliteit van de extensie de volledige functionaliteit is.
De Blootstelling van de Onderneming
Forrester Research 2024 heeft vastgesteld dat 45% van de medewerkers in ondernemingen browserextensies gebruikt die niet door IT zijn goedgekeurd. Dit cijfer weerspiegelt de informele manier waarop browserextensies doorgaans worden aangenomen: een werknemer vindt een productiviteitsinstrument, installeert het en gebruikt het — zonder enige interactie met de IT-afdeling.
De combinatie van 83% nooit-geauditeerd en 45% niet-goedgekeurd betekent dat bijna de helft van de medewerkers in ondernemingen extensies gebruikt waarvan de beveiligingskenmerken door niemand zijn geverifieerd — en waarvan het gebruik niet is goedgekeurd door de organisatie die verantwoordelijk is voor de gegevens die deze medewerkers verwerken.
Voor organisaties in gereguleerde sectoren creëert dit directe nalevingsrisico's. Een HR-medewerker die een niet-goedgekeurde browserextensie gebruikt die inhoud van het klembord verzamelt, heeft mogelijk persoonlijke gegevens van werknemers blootgesteld aan een niet-gecontroleerde derde partij. Een juridisch professional die een niet-goedgekeurde AI-schrijfhulp gebruikt die toegang heeft tot pagina-inhoud, heeft mogelijk vertrouwelijke informatie van cliënten blootgesteld.
Wat het Incident met 900K Gebruikers Aantoont
Het incident in januari 2026 waarbij kwaadaardige Chrome-extensies de AI-chatgeschiedenis van 900.000 gebruikers blootstelden — 600.000 van de ene extensie, 300.000 van een andere — illustreert de faalmodus die het cijfer van 83% niet-geauditeerde extensies beschrijft.
De extensies leken legitieme AI-gerelateerde functionaliteit te bieden. Ze waren beschikbaar in de Chrome Web Store. Ze hadden gebruikersbases groot genoeg om legitimiteit te suggereren. En ze exfiltreerden AI-gespreksinhoud naar externe servers.
De exfiltratie was binnen 30 minuten na installatie compleet. Tegen de tijd dat beveiligingsonderzoekers de extensies identificeerden en rapporteerden, was de gespreksinhoud van 900.000 gebruikers — inclusief welke gevoelige informatie die gebruikers met AI-tools hadden besproken — buiten hun controle geraakt.
Onderzoek van Caviard.ai (2025) heeft aangetoond dat 67% van de AI Chrome-extensies gebruikersgegevens verzamelt — de meerderheid van de AI-extensiecategorie. Van degenen die gegevens verzamelen, variëren de onthullingen, beveiligingspraktijken en transmissiebestemmingen enorm.
Het Governancekader voor Browsers in de Onderneming
Voor beveiligingsteams in ondernemingen is de juiste reactie op het probleem van niet-geauditeerde extensies niet om alle browserextensies te verbieden — de operationele impact van die aanpak is aanzienlijk. Het is om een governancekader op te stellen dat de blootstelling aan geauditeerde, goedgekeurde extensies voor AI-functionaliteit specifiek beperkt.
Extensie-toelatingslijst: Definieer de goedgekeurde lijst van browserextensies voor apparaten in de onderneming. Beoordeling door het beveiligingsteam voordat toevoeging aan de lijst. Chrome Enterprise-beleidsafhandeling voorkomt installatie van niet-toegelaten extensies.
Specifieke beoordeling van AI-extensies: Extensies die AI-prompts verwerken, krijgen extra aandacht — netwerkverkeersanalyse om transmissiebestemmingen te bevestigen, beoordeling van de machtigingsomvang en verificatie van de identiteit van de uitgever.
Technische controles voor AI-inhoud: Voor medewerkers die goedgekeurde AI-tools gebruiken, onderscheppen technische controles op browsert niveau (in plaats van te vertrouwen op het gedrag van extensies) gevoelige inhoud voordat deze de AI-providers bereikt. Dit ontkoppelt de beveiligingsverplichting van het vertrouwen in individuele extensies.
Het percentage van 83% niet-geauditeerde extensies is niet aan te pakken door middel van gebruikerseducatie — gebruikers kunnen Chrome-extensies zelf niet auditen. Het is aan te pakken door middel van ondernemingsgovernance die goedgekeurde van niet-goedgekeurde scheidt, en door technische controles die gegevensbescherming bieden ongeacht het gedrag van extensies.
Bronnen:
- USENIX Security 2025: "Ik heb geen idee hoe ik het veiliger kan maken" — Beveiligingsmentaliteit van ontwikkelaars van browserextensies
- LayerX 2025: Beveiligingsrapport voor browserextensies in ondernemingen — wijdverspreid gebruik van niet-goedgekeurde extensies
- Incogni 2025: 67% van de AI Chrome-extensies verzamelt gebruikersgegevens