Incydent z stycznia 2026 roku
Dwa rozszerzenia Chrome odkryte w styczniu 2026 roku — "Chat GPT for Chrome with GPT-5, Claude Sonnet and DeepSeek AI" (ponad 600 000 użytkowników) oraz "AI Sidebar with Deepseek, ChatGPT, Claude and more" (ponad 300 000 użytkowników) — okazały się eksfiltrującymi pełne historie rozmów AI co 30 minut do zdalnego serwera dowodzenia i kontroli.
Rozszerzenia przedstawiały się jako narzędzia do ochrony prywatności i ulepszania AI. Ich opisy w Chrome Web Store podkreślały ochronę danych użytkowników i projekt z myślą o prywatności. Ich rzeczywiste zachowanie — potwierdzone przez analizę Astrix Security — polegało na przechwytywaniu pełnych historii rozmów z ChatGPT, DeepSeek i innych platform AI, a następnie przesyłaniu ich na serwer kontrolowany przez atakującego. Przechwycone rozmowy zawierały kod źródłowy, dane osobowe, dyskusje dotyczące strategii prawnych, plany biznesowe i dane finansowe.
Rozszerzenia prosiły o pozwolenie na "zbieranie anonimowych, nieidentyfikowalnych danych analitycznych." W rzeczywistości zbierały całkowicie identyfikowalne, wysoce wrażliwe dane w maksymalnej wierności.
Problem inwersji bezpieczeństwa
Użytkownicy, którzy specjalnie instalują rozszerzenia do ochrony prywatności AI, wyrażają preferencje dla narzędzi, które chronią ich rozmowy AI. Incydent z stycznia 2026 roku udokumentował najgorszy możliwy wynik tej preferencji: narzędzie zainstalowane w celach prywatności samo w sobie jest mechanizmem eksfiltracji danych.
To nie jest jedynie ryzyko do rozważenia — to udokumentowany wynik wpływający jednocześnie na 900 000 użytkowników. Automatyczne skanowanie Chrome Web Store nie wykryło złośliwego zachowania, ponieważ zbieranie danych przez rozszerzenia było ukryte jako analityka. Opinie użytkowników nie ujawniały problemu, ponieważ użytkownicy nie mieli wglądu w ruch sieciowy.
Badania Incogni wykazały, że 67% rozszerzeń AI Chrome aktywnie zbiera dane użytkowników — liczba ta obejmuje zarówno ujawnione zbieranie analityczne, jak i nieujawnioną eksfiltrację. Istotne pytanie dla zespołów IT w przedsiębiorstwach wdrażających rozszerzenia do ochrony prywatności AI brzmi nie "czy to rozszerzenie zbiera jakieś dane?" ale "czy mogę zweryfikować, że przepływ danych tego rozszerzenia jest architektonicznie niezdolny do eksfiltracji treści rozmów?"
Test weryfikacji architektury
Test weryfikacji dla wiarygodnego przetwarzania lokalnego jest techniczny, a nie deklaratywny: czy twierdzenie rozszerzenia o przetwarzaniu lokalnym może być niezależnie zweryfikowane przez monitorowanie sieci?
Rozszerzenie, które lokalnie przetwarza wykrywanie PII — uruchamiając model wykrywania po stronie klienta za pomocą TensorFlow.js, WASM lub lokalnego binarnego — nie generuje żadnego ruchu wychodzącego w trakcie fazy wykrywania PII. Monitorowanie sieci na stacji roboczej użytkownika powinno wykazać brak połączenia z jakimkolwiek zewnętrznym serwerem pomiędzy zdarzeniem wklejenia użytkownika a przesłaniem do platformy AI. Jedynym ruchem wychodzącym powinien być zanonimizowany prompt kierowany do dostawcy AI.
Rozszerzenie, które kieruje ruch przez serwer proxy — nawet jeśli proxy jest opisane jako "przekaźnik zachowujący prywatność" — wysyła treści użytkownika do serwera strony trzeciej. Bezpieczeństwo operatora proxy staje się teraz częścią modelu zagrożeń użytkownika.
Dla zespołów IT w przedsiębiorstwach dodających rozszerzenia przeglądarki do zatwierdzonej listy, protokół weryfikacji to: wdrożyć rozszerzenie w monitorowanym środowisku sieciowym, wygenerować reprezentatywny ruch testowy i zweryfikować, że nie występuje żadne połączenie wychodzące z serwerami wydawcy rozszerzenia podczas przetwarzania PII. Rozszerzenia, które nie mogą przejść tego testu, nie powinny być zatwierdzane do wdrożenia w przedsiębiorstwie, niezależnie od ich deklarowanych zobowiązań dotyczących prywatności.
Architektura przetwarzania lokalnego — w której całe wykrywanie odbywa się po stronie klienta bez komponentu po stronie serwera dla kroku anonimizacji — jest właściwością architektoniczną, która sprawia, że roszczenia prywatności rozszerzenia są niezależnie weryfikowalne, zamiast wymagać zaufania do twierdzeń wydawcy.
Źródła: