O Problema das Extensões Não Auditadas
A Chrome Web Store contém mais de 180.000 extensões. Muitas dessas extensões — particularmente aquelas que adicionam capacidades de AI à navegação na web — solicitam permissões amplas: acesso a todo o conteúdo do site, acesso à área de transferência, acesso ao armazenamento e interceptação de requisições de rede.
A pesquisa da USENIX 2025 descobriu que 83% das extensões do Chrome com permissões amplas nunca passaram por uma auditoria de segurança. Essas extensões foram criadas, publicadas e instaladas por milhões de usuários sem qualquer verificação independente de que elas fazem o que afirmam — e nada mais.
A lacuna de auditoria de segurança é uma característica estrutural de como as extensões do navegador são distribuídas. A Chrome Web Store realiza varreduras automatizadas em busca de assinaturas de malware e violações de políticas, mas a varredura automatizada não pode avaliar se as práticas de coleta de dados de uma extensão são divulgadas com precisão, se os dados da API são transmitidos para terceiros não divulgados, ou se a funcionalidade declarada da extensão é sua funcionalidade completa.
A Exposição da Empresa
A pesquisa da Forrester 2024 descobriu que 45% dos funcionários de empresas usam extensões de navegador não aprovadas pela TI. O número reflete a maneira informal como as extensões de navegador são tipicamente adotadas: um funcionário encontra uma ferramenta de produtividade, a instala e a usa — sem qualquer interação com o departamento de TI.
A combinação de 83% nunca auditadas e 45% não aprovadas significa que quase metade dos funcionários de empresas está usando extensões cujas propriedades de segurança não foram verificadas por ninguém — e cujo uso não foi sancionado pela organização responsável pelos dados que esses funcionários manipulam.
Para organizações em indústrias regulamentadas, isso cria uma exposição direta à conformidade. Um funcionário de RH usando uma extensão de navegador não aprovada que coleta conteúdo da área de transferência potencialmente expôs dados pessoais de funcionários a um terceiro não verificado. Um profissional jurídico usando um assistente de escrita de AI não aprovado que acessa o conteúdo da página potencialmente expôs informações confidenciais de clientes.
O Que o Incidente de 900K Usuários Demonstra
O incidente de janeiro de 2026, em que extensões maliciosas do Chrome expuseram os históricos de chat de AI de 900.000 usuários — 600.000 de uma extensão, 300.000 de outra — ilustra o modo de falha que o número de 83% não auditadas descreve.
As extensões pareciam fornecer funcionalidade legítima relacionada à AI. Elas estavam disponíveis na Chrome Web Store. Elas tinham bases de usuários grandes o suficiente para sugerir legitimidade. E estavam exfiltrando conteúdo de conversas de AI para servidores externos.
A exfiltração foi completa dentro de 30 minutos após a instalação. Quando os pesquisadores de segurança identificaram e relataram as extensões, o conteúdo da conversa de 900.000 usuários — incluindo qualquer informação sensível que esses usuários tenham discutido com ferramentas de AI — havia deixado seu controle.
Pesquisas da Caviard.ai (2025) descobriram que 67% das extensões de AI do Chrome coletam dados dos usuários — a maioria da categoria de extensões de AI. Dentre aquelas que coletam dados, a divulgação, práticas de segurança e destinos de transmissão variam enormemente.
O Quadro de Governança do Navegador Empresarial
Para as equipes de segurança empresarial, a resposta apropriada ao problema das extensões não auditadas não é proibir todas as extensões de navegador — o impacto operacional dessa abordagem é significativo. É estabelecer um quadro de governança que limite a exposição a extensões auditadas e aprovadas para funcionalidade de AI especificamente.
Lista de permissões de extensões: Defina a lista aprovada de extensões de navegador para dispositivos empresariais. Revisão da equipe de segurança antes da adição à lista. A aplicação de políticas do Chrome Enterprise impede a instalação de extensões não permitidas.
Verificação específica de extensões de AI: Extensões que processam prompts de AI recebem uma análise adicional — análise de tráfego de rede para confirmar destinos de transmissão, revisão do escopo de permissões e verificação da identidade do editor.
Controles técnicos para conteúdo de AI: Para funcionários que usam ferramentas de AI aprovadas, controles técnicos em nível de navegador (em vez de confiar no comportamento da extensão) interceptam conteúdo sensível antes que ele chegue aos provedores de AI. Isso desacopla a obrigação de segurança da confiança em extensões individuais.
A taxa de 83% não auditadas não é abordável por meio da educação do usuário — os usuários não podem auditar extensões do Chrome por conta própria. É abordável por meio da governança empresarial que separa o aprovado do não aprovado, e por meio de controles técnicos que fornecem proteção de dados independentemente do comportamento da extensão.
Fontes:
- USENIX Security 2025: "Eu não tenho ideia de como torná-lo mais seguro" — Mentalidades de Segurança de Desenvolvedores de Extensões de Navegador
- LayerX 2025: Relatório de Segurança de Extensões de Navegador Empresarial — uso generalizado de extensões não aprovadas
- Incogni 2025: 67% das extensões de AI do Chrome coletam dados dos usuários