Problem nieaudytowanych rozszerzeń
Sklep internetowy Chrome zawiera ponad 180 000 rozszerzeń. Wiele z tych rozszerzeń — szczególnie tych dodających funkcje AI do przeglądania internetu — żąda szerokich uprawnień: dostępu do całej zawartości stron internetowych, dostępu do schowka, dostępu do pamięci i przechwytywania żądań sieciowych.
Badania USENIX 2025 wykazały, że 83% rozszerzeń Chrome z szerokimi uprawnieniami nigdy nie przeszło audytu bezpieczeństwa. Te rozszerzenia zostały stworzone, opublikowane i zainstalowane przez miliony użytkowników bez jakiejkolwiek niezależnej weryfikacji, że robią to, co deklarują — i nic więcej.
Luka w audycie bezpieczeństwa jest strukturalną cechą sposobu, w jaki dystrybuowane są rozszerzenia przeglądarki. Sklep internetowy Chrome przeprowadza automatyczne skanowanie w poszukiwaniu sygnatur złośliwego oprogramowania i naruszeń zasad, ale automatyczne skanowanie nie może ocenić, czy praktyki zbierania danych przez rozszerzenie są dokładnie ujawnione, czy dane API są przesyłane do nieujawnionych stron trzecich, ani czy deklarowana funkcjonalność rozszerzenia jest jego pełną funkcjonalnością.
Ekspozycja przedsiębiorstw
Badania Forrester 2024 wykazały, że 45% pracowników przedsiębiorstw korzysta z rozszerzeń przeglądarki, które nie zostały zatwierdzone przez IT. Ta liczba odzwierciedla nieformalny sposób, w jaki rozszerzenia przeglądarki są zazwyczaj przyjmowane: pracownik znajduje narzędzie do zwiększenia wydajności, instaluje je i używa — bez jakiejkolwiek interakcji z działem IT.
Połączenie 83% nieaudytowanych i 45% niezatwierdzonych oznacza, że prawie połowa pracowników przedsiębiorstw korzysta z rozszerzeń, których właściwości bezpieczeństwa nie zostały zweryfikowane przez nikogo — i których użycie nie zostało zatwierdzone przez organizację odpowiedzialną za dane, którymi ci pracownicy się zajmują.
Dla organizacji w regulowanych branżach stwarza to bezpośrednią ekspozycję na naruszenie zgodności. Pracownik HR korzystający z niezatwierdzonego rozszerzenia przeglądarki, które zbiera zawartość schowka, potencjalnie naraża dane osobowe pracowników na niezweryfikowaną stronę trzecią. Specjalista prawny korzystający z niezatwierdzonego asystenta AI do pisania, który uzyskuje dostęp do treści stron, potencjalnie naraża poufne informacje klientów.
Co pokazuje incydent z 900 tys. użytkowników
Incydent z stycznia 2026, w którym złośliwe rozszerzenia Chrome ujawniły historie czatów AI 900 000 użytkowników — 600 000 z jednego rozszerzenia, 300 000 z innego — ilustruje tryb awarii, który opisuje figura 83% nieaudytowanych.
Rozszerzenia wydawały się zapewniać legitymacyjną funkcjonalność związaną z AI. Były dostępne w Sklepie internetowym Chrome. Miały bazy użytkowników wystarczająco duże, aby sugerować legitymację. A one exfiltrują treści rozmów AI na zewnętrzne serwery.
Exfiltracja była zakończona w ciągu 30 minut od instalacji. W momencie, gdy badacze bezpieczeństwa zidentyfikowali i zgłosili rozszerzenia, treści rozmów 900 000 użytkowników — w tym wszelkie wrażliwe informacje, które ci użytkownicy omawiali z narzędziami AI — opuściły ich kontrolę.
Badania Caviard.ai (2025) wykazały, że 67% rozszerzeń AI Chrome zbiera dane użytkowników — większość kategorii rozszerzeń AI. Wśród tych, które zbierają dane, ujawnienia, praktyki bezpieczeństwa i miejsca przesyłania różnią się znacznie.
Ramy zarządzania przeglądarką w przedsiębiorstwie
Dla zespołów bezpieczeństwa w przedsiębiorstwie odpowiednią reakcją na problem nieaudytowanych rozszerzeń nie jest zakazanie wszystkich rozszerzeń przeglądarki — operacyjny wpływ tego podejścia jest znaczący. Chodzi o ustanowienie ram zarządzania, które ograniczają ekspozycję na audytowane, zatwierdzone rozszerzenia do funkcji AI.
Zatwierdzanie rozszerzeń: Zdefiniuj zatwierdzoną listę rozszerzeń przeglądarki dla urządzeń przedsiębiorstw. Przegląd zespołu bezpieczeństwa przed dodaniem do listy. Wdrażanie polityki Chrome Enterprise zapobiega instalacji rozszerzeń, które nie są na liście zatwierdzonych.
Weryfikacja rozszerzeń specyficznych dla AI: Rozszerzenia, które przetwarzają zapytania AI, otrzymują dodatkową kontrolę — analiza ruchu sieciowego w celu potwierdzenia miejsc przesyłania, przegląd zakresu uprawnień oraz weryfikacja tożsamości wydawcy.
Kontrole techniczne dla treści AI: Dla pracowników korzystających z zatwierdzonych narzędzi AI, techniczne kontrole na poziomie przeglądarki (zamiast polegać na zachowaniu rozszerzenia) przechwytują wrażliwe treści, zanim dotrą do dostawców AI. To oddziela obowiązek bezpieczeństwa od zaufania do poszczególnych rozszerzeń.
Wskaźnik 83% nieaudytowanych nie jest możliwy do rozwiązania poprzez edukację użytkowników — użytkownicy nie mogą sami audytować rozszerzeń Chrome. Można go rozwiązać poprzez zarządzanie przedsiębiorstwem, które oddziela zatwierdzone od niezatwierdzonych, oraz poprzez kontrole techniczne, które zapewniają ochronę danych niezależnie od zachowania rozszerzenia.
Źródła:
- USENIX Security 2025: "Nie mam pojęcia, jak to uczynić bezpieczniejszym" — Mentalność bezpieczeństwa deweloperów rozszerzeń przeglądarki
- LayerX 2025: Raport o bezpieczeństwie rozszerzeń przeglądarki przedsiębiorstwa — powszechne korzystanie z niezatwierdzonych rozszerzeń
- Incogni 2025: 67% rozszerzeń AI Chrome zbiera dane użytkowników