Atualizado para 2026
A maioria das extensões de IA nunca é auditada
O Chrome Web Store hospeda mais de 180.000 extensões de navegador. Muitas delas — principalmente ferramentas de IA — solicitam acesso amplo. Elas leem cada página que você visita. Elas veem sua área de transferência. Elas podem bloquear ou alterar requisições de rede.
O USENIX Security 2025 constatou que 83% das extensões do Chrome com permissões amplas nunca foram auditadas. Os desenvolvedores as criaram, publicaram e usuários as instalaram aos milhões. Ninguém verificou se cada ferramenta faz apenas o que afirma fazer.
Essa lacuna é estrutural. O Chrome Web Store verifica malwares conhecidos. Ele checa regras de política. Ele não pode confirmar se a coleta de dados é totalmente divulgada. Ele não pode detectar se os dados fluem para terceiros ocultos.
Metade dos funcionários corporativos usa ferramentas não aprovadas
O Relatório de Segurança de Navegador Corporativo LayerX 2025 constatou que 45% dos funcionários corporativos usam extensões de navegador que a TI nunca aprovou. O padrão é comum. Um funcionário encontra uma ferramenta útil. Instala ela. A TI nunca fica sabendo.
Combine 83% não auditadas com 45% não aprovadas. Quase metade dos funcionários corporativos pode estar usando ferramentas cuja segurança nunca foi verificada. Esses funcionários lidam com dados corporativos sensíveis todos os dias.
Para setores regulamentados, o risco é direto. Um funcionário de RH usando uma ferramenta não verificada que lê a área de transferência pode ter enviado dados pessoais a uma parte desconhecida. Um advogado usando uma ferramenta de escrita IA não verificada pode ter enviado dados de clientes a uma parte desconhecida. Consulte nossa orientação de conformidade legal para ver como esses riscos se relacionam ao RGPD, HIPAA e outros frameworks.
O que o incidente de 900 mil usuários mostra
Um incidente relatado no início de 2026 mostra o modo de falha. Extensões maliciosas do Chrome expuseram os registros de chat de IA de cerca de 900.000 usuários. Cerca de 600.000 vieram de uma ferramenta. Cerca de 300.000 vieram de outra. Ambas pareciam oferecer recursos de IA reais. Ambas estavam listadas no Chrome Web Store. Ambas tinham grandes bases de usuários.
O roubo de dados foi concluído em 30 minutos após a instalação. Quando os pesquisadores encontraram as ferramentas, quase um milhão de usuários já havia perdido o controle do histórico de chat de IA — incluindo qualquer conteúdo sensível que tivessem digitado.
O estudo da Incogni de 2025 constatou que 67% das extensões Chrome de IA coletam dados de usuários. As práticas de coleta, divulgação e destinos dos dados variam amplamente nesse grupo. Consulte nossa visão geral de segurança e conformidade para ver como os controles no nível do navegador se comparam à confiança no comportamento de cada ferramenta.
Um framework de governança corporativa
Bloquear todas as extensões de navegador não é realista. O custo é alto demais. A resposta certa é um framework de governança que limite a exposição a ferramentas verificadas e aprovadas — principalmente para uso de IA.
Lista de permissões de extensões. Defina quais extensões são permitidas nos dispositivos corporativos. Exija uma revisão de segurança antes de adicionar qualquer nova ferramenta. Use a política do Chrome Enterprise para bloquear instalações fora da lista aprovada.
Análise mais rigorosa para ferramentas de IA. Qualquer extensão que processa prompts de IA recebe escrutínio adicional. Verifique o tráfego de rede para ver para onde os dados vão. Revise o escopo completo das permissões. Verifique a identidade do editor.
Controles no nível do navegador. Para ferramentas de IA aprovadas, aplique controles que interceptem conteúdo sensível antes de chegar aos provedores de IA. Isso elimina a necessidade de confiar no comportamento de cada extensão.
A taxa de 83% não auditadas não é um problema que os usuários possam resolver. Os usuários não podem auditar extensões do Chrome por conta própria. Governança corporativa — listas aprovadas, aplicação de políticas e controles técnicos — é a resposta confiável. Consulte nossas perguntas frequentes e o glossário de termos de DLP de navegador para mais informações.
A extensão Chrome da anonym.legal executa a verificação de PII localmente no navegador. Nenhum conteúdo de chat chega aos servidores da anonym.legal durante a verificação. O prompt modificado e mascarado é o que é enviado ao serviço de IA.