Problema extensiilor neauditate
Chrome Web Store conține peste 180.000 de extensii. Multe dintre aceste extensii — în special cele care adaugă capabilități AI la navigarea web — solicită permisiuni largi: acces la conținutul tuturor site-urilor web, acces la clipboard, acces la stocare și interceptarea cererilor de rețea.
Cercetarea USENIX 2025 a constatat că 83% din extensiile Chrome cu permisiuni largi nu au suferit niciodată o audit de securitate. Aceste extensii au fost create, publicate și instalate de milioane de utilizatori fără nicio verificare independentă că fac ceea ce pretind — și nimic mai mult.
Decalajul auditului de securitate este o caracteristică structurală a modului în care sunt distribuite extensiile de browser. Chrome Web Store efectuează scanare automată pentru semnături de malware și încălcări de politică, dar scanarea automată nu poate evalua dacă practicile de colectare a datelor ale unei extensii sunt dezvăluite cu exactitate, dacă datele API sunt transmise unor terțe părți nedezvăluite sau dacă funcționalitatea declarată a extensiei este funcționalitatea sa completă.
Expunerea întreprinderii
Cercetarea Forrester 2024 a constatat că 45% din angajații întreprinderilor folosesc extensii de browser neaprobate de IT. Cifra reflectă modul informal în care extensiile de browser sunt de obicei adoptate: un angajat găsește un instrument de productivitate, îl instalează și îl folosește — fără nicio interacțiune cu departamentul IT.
Combinația dintre 83% niciodată auditate și 45% neaprobate înseamnă că aproape jumătate din angajații întreprinderilor folosesc extensii ale căror proprietăți de securitate nu au fost verificate de nimeni — și a căror utilizare nu a fost autorizată de organizația care este responsabilă pentru datele pe care le gestionează acești angajați.
Pentru organizațiile din industrii reglementate, aceasta creează expunere directă la conformitate. Un angajat din HR care folosește o extensie de browser neaprobată care colectează conținut din clipboard a expus potențial date personale ale angajaților unei terțe părți necontrolate. Un profesionist în drept care folosește un asistent de scriere AI neaprobat care accesează conținutul paginii a expus potențial informații confidențiale ale clienților.
Ce demonstrează incidentul cu 900K utilizatori
Incidentul din ianuarie 2026 în care extensiile Chrome malițioase au expus istoricele de chat AI ale 900.000 de utilizatori — 600.000 dintr-o extensie, 300.000 din alta — ilustrează modul de defecțiune pe care îl descrie cifra de 83% neauditate.
Extensiile părea că oferă funcționalitate legitimă legată de AI. Erau disponibile în Chrome Web Store. Aveau baze de utilizatori suficient de mari pentru a sugera legitimitate. Și exfiltrau conținut de conversație AI la servere externe.
Exfiltrarea a fost completă în 30 de minute de la instalare. Până când cercetătorii de securitate au identificat și raportat extensiile, conținutul conversației a 900.000 de utilizatori — inclusiv orice informații sensibile pe care acești utilizatori le-au discutat cu instrumente AI — a ieșit din controlul lor.
Cercetarea din Caviard.ai (2025) a constatat că 67% din extensiile Chrome cu AI colectează date ale utilizatorului — majoritatea categoriei de extensii AI. Din cele care colectează date, dezvăluirea, practicile de securitate și destinațiile de transmisie variază enorm.
Cadrul de guvernanță a browserului pentru întreprinderi
Pentru echipele de securitate ale întreprinderilor, răspunsul adecvat la problema extensiilor neauditate nu este să interzică toate extensiile de browser — impactul operațional al acestei abordări este semnificativ. Este să stabilească un cadru de guvernanță care limitează expunerea la extensii auditate și aprobate pentru funcționalitatea AI în mod specific.
Allowlisting extensii: Definiți lista aprobată de extensii de browser pentru dispozitivele întreprinderii. Revizuire de echipa de securitate înainte de adăugare la listă. Aplicarea politicii Chrome Enterprise previne instalarea extensiilor care nu sunt pe lista de permisiuni.
Evaluare specifică extensiilor AI: Extensiile care procesează prompturi AI primesc scrutin suplimentar — analiza traficului de rețea pentru a confirma destinațiile de transmisie, revizuire a domeniului de permisiuni și verificarea identității editorului.
Controale tehnice pentru conținut AI: Pentru angajații care folosesc instrumente AI aprobate, controale tehnice la nivel de browser (mai degrabă decât să se bazeze pe comportamentul extensiei) interceptează conținut sensibil înainte ca acesta să ajungă la furnizorii de AI. Aceasta decuplează obligația de securitate de încrederea în extensii individuale.
Rata de 83% neauditate nu este rezolvabilă prin educația utilizatorilor — utilizatorii nu pot audita extensiile Chrome ei înșiși. Este rezolvabilă prin guvernanța întreprinderii care separă aprobat de neaprobat, și prin controale tehnice care oferă protecție a datelor indiferent de comportamentul extensiei.
Surse: