O Incidente de Janeiro de 2026
Duas extensões do Chrome descobertas em janeiro de 2026 — "Chat GPT for Chrome with GPT-5, Claude Sonnet and DeepSeek AI" (mais de 600.000 usuários) e "AI Sidebar with Deepseek, ChatGPT, Claude and more" (mais de 300.000 usuários) — foram encontradas exfiltrando histórias completas de conversas de IA a cada 30 minutos para um servidor remoto de comando e controle.
As extensões se apresentavam como ferramentas de privacidade e aprimoramento de IA. As descrições na Chrome Web Store enfatizavam a proteção dos dados dos usuários e um design focado na privacidade. Seu comportamento real — confirmado pela análise da Astrix Security — era capturar histórias completas de conversas do ChatGPT, DeepSeek e outras plataformas de IA, e então transmiti-las para um servidor controlado por atacantes. As conversas capturadas incluíam código-fonte, informações pessoalmente identificáveis, discussões sobre estratégias legais, planos de negócios e dados financeiros.
As extensões solicitaram permissão para "coletar dados analíticos anônimos e não identificáveis." Na verdade, coletaram dados completamente identificáveis e altamente sensíveis com máxima fidelidade.
O Problema da Inversão de Segurança
Usuários que instalam especificamente extensões de privacidade de IA estão expressando uma preferência por ferramentas que protejam suas conversas de IA. O incidente de janeiro de 2026 documentou o pior resultado dessa preferência: a ferramenta instalada para fins de privacidade é, ela mesma, o mecanismo de exfiltração de dados.
Isso não é apenas um risco a ser considerado — é um resultado documentado que afeta 900.000 usuários simultaneamente. A varredura automatizada da Chrome Web Store não detectou o comportamento malicioso porque a coleta de dados das extensões estava disfarçada como análises. As avaliações dos usuários não revelaram o problema porque os usuários não tinham visibilidade sobre o tráfego da rede.
A pesquisa da Incogni descobriu que 67% das extensões de IA do Chrome coletam ativamente dados dos usuários — um número que inclui tanto a coleta de análises divulgadas quanto a exfiltração não divulgada. A pergunta significativa para as equipes de TI corporativas que implantam extensões de privacidade de IA não é "esta extensão coleta algum dado?" mas "posso verificar se o fluxo de dados desta extensão é arquitetonicamente incapaz de exfiltrar o conteúdo da conversa?"
O Teste de Verificação da Arquitetura
O teste de verificação para processamento local confiável é técnico, não declarativo: o processamento local reivindicado pela extensão pode ser verificado de forma independente por monitoramento de rede?
Uma extensão que processa a detecção de PII localmente — executando o modelo de detecção do lado do cliente usando TensorFlow.js, WASM ou um binário local — produz zero tráfego de rede de saída durante a fase de detecção de PII. O monitoramento da rede na estação de trabalho do usuário deve não mostrar nenhuma conexão com qualquer servidor externo entre o evento de colagem do usuário e a submissão à plataforma de IA. O único tráfego de saída deve ser o prompt anonimizado indo para o provedor de IA.
Uma extensão que roteia o tráfego através de um servidor proxy — mesmo que o proxy seja descrito como um "relé que preserva a privacidade" — envia o conteúdo do usuário para um servidor de terceiros. A segurança do operador do proxy agora faz parte do modelo de ameaça do usuário.
Para as equipes de TI corporativas que adicionam extensões de navegador à lista aprovada pela empresa, o protocolo de verificação é: implantar a extensão em um ambiente de rede monitorado, gerar tráfego de teste representativo e verificar que nenhuma conexão de saída para os servidores do editor da extensão ocorre durante o processamento de PII. Extensões que não conseguem passar por este teste não devem ser aprovadas para implantação empresarial, independentemente de seus compromissos de privacidade declarados.
A arquitetura de processamento local — onde toda a detecção é executada do lado do cliente sem componente do lado do servidor para a etapa de anonimização — é a propriedade arquitetônica que torna as alegações de privacidade da extensão verificáveis de forma independente, em vez de exigir confiança nas afirmações do editor.
Fontes: