Het incident van januari 2026
Twee Chrome-extensies ontdekt in januari 2026 — "Chat GPT voor Chrome met GPT-5, Claude Sonnet en DeepSeek AI" (600.000+ gebruikers) en "AI Sidebar met Deepseek, ChatGPT, Claude en meer" (300.000+ gebruikers) — bleken elke 30 minuten volledige AI-gespreksgeschiedenissen te exfiltreren naar een externe command-and-control server.
De extensies presenteerden zichzelf als privacy- en AI-verbetertools. Hun beschrijvingen in de Chrome Web Store benadrukten de bescherming van gebruikersgegevens en een privacy-eerste ontwerp. Hun werkelijke gedrag — bevestigd door de analyse van Astrix Security — was het vastleggen van volledige gespreksgeschiedenissen van ChatGPT, DeepSeek en andere AI-platforms, en deze vervolgens naar een door een aanvaller gecontroleerde server te verzenden. De vastgelegde gesprekken omvatten broncode, persoonlijk identificeerbare informatie, juridische strategiegesprekken, bedrijfsplannen en financiële gegevens.
De extensies vroegen toestemming om "anonieme, niet-identificeerbare analytische gegevens te verzamelen." Ze verzamelden echter volledig identificeerbare, zeer gevoelige gegevens met maximale nauwkeurigheid.
Het probleem van beveiligingsinversie
Gebruikers die specifiek AI-privacy-extensies installeren, geven een voorkeur aan voor tools die hun AI-gesprekken beschermen. Het incident van januari 2026 documenteerde de slechtste uitkomst van die voorkeur: de tool die voor privacydoeleinden is geïnstalleerd, is zelf het mechanisme voor gegevensexfiltratie.
Dit is niet slechts een risico dat moet worden gewogen — het is een gedocumenteerde uitkomst die 900.000 gebruikers tegelijkertijd beïnvloedt. De geautomatiseerde scanning van de Chrome Web Store detecteerde het kwaadaardige gedrag niet omdat de gegevensverzameling van de extensies was vermomd als analytics. De gebruikersrecensies onthulden het probleem niet omdat gebruikers geen zicht hadden op het netwerkverkeer.
Onderzoek van Incogni heeft aangetoond dat 67% van de AI Chrome-extensies actief gebruikersgegevens verzamelt — een cijfer dat zowel openbaar gemaakte analytische verzameling als niet-geopenbaarde exfiltratie omvat. De belangrijke vraag voor IT-teams in bedrijven die AI-privacy-extensies implementeren is niet "verzamelt deze extensie gegevens?" maar "kan ik verifiëren dat de gegevensstroom van deze extensie architectonisch niet in staat is om gespreksinhoud te exfiltreren?"
De architectuurverificatietest
De verificatietest voor betrouwbare lokale verwerking is technisch, niet verklarend: kan de geclaimde lokale verwerking van de extensie onafhankelijk worden geverifieerd door netwerkmonitoring?
Een extensie die PII-detectie lokaal verwerkt — het detectiemodel client-side uitvoerend met TensorFlow.js, WASM of een lokale binaire — genereert geen uitgaand netwerkverkeer tijdens de PII-detectiefase. Netwerkmonitoring op de werkplek van de gebruiker zou geen verbinding met een externe server moeten tonen tussen de plakactie van de gebruiker en de indiening bij het AI-platform. Het enige uitgaande verkeer zou de geanonimiseerde prompt zijn die naar de AI-provider gaat.
Een extensie die verkeer via een proxyserver leidt — zelfs als de proxy wordt beschreven als een "privacy-behoudende relay" — verzendt gebruikersinhoud naar een derde partij server. De beveiliging van de operator van de proxy maakt nu deel uit van het dreigingsmodel van de gebruiker.
Voor IT-teams in bedrijven die browserextensies aan de goedgekeurde lijst willen toevoegen, is het verificatieprotocol: implementeer de extensie in een gemonitorde netwerkomgeving, genereer representatief testverkeer en verifieer dat er tijdens de PII-verwerking geen uitgaande verbinding naar de servers van de extensie-uitgever plaatsvindt. Extensies die deze test niet kunnen doorstaan, mogen niet worden goedgekeurd voor implementatie in bedrijven, ongeacht hun verklaarde privacyverbintenissen.
De lokale verwerkingsarchitectuur — waarbij alle detecties client-side draaien zonder server-side component voor de anonimiseringsstap — is de architectonische eigenschap die de privacyclaims van de extensie onafhankelijk verifieerbaar maakt, in plaats van vertrouwen te vereisen in de beweringen van de uitgever.
Bronnen: