anonym.legal
Назад к блогуБезопасность ИИ

900,000 пользователей скомпрометированы...

В январе 2026 года два вредоносных расширения Chrome с более чем 900,000 пользователями были пойманы на эксфильтрации разговоров ChatGPT и DeepSeek...

March 8, 20268 мин чтения
Chrome extension securitymalicious extensionChatGPT privacyAI data protection

Инцидент января 2026 года

В январе 2026 года исследователи безопасности обнаружили два вредоносных расширения Chrome, которые скомпрометировали 900,000+ пользователей.

Названия расширений были намеренно выбраны так, чтобы выглядеть как законные инструменты для улучшения AI:

  • "Chat GPT для Chrome с GPT-5, Claude Sonnet и DeepSeek AI" — 600,000+ пользователей
  • "AI Sidebar с Deepseek, ChatGPT, Claude и другими" — 300,000+ пользователей

Оба расширения делали одно и то же: эксфильтровали полные разговоры ChatGPT и DeepSeek каждые 30 минут на удаленный сервер командования и управления.

Данные, которые утекали, включали исходный код, личную идентифицируемую информацию, обсуждаемые юридические вопросы, бизнес-стратегии и финансовые данные. Все, что пользователи вводили в свои AI-чаты — все, что они считали личным — передавалось неизвестным сторонам.

Как расширения обошли сигналы доверия

Расширения запрашивали разрешение на "сбор анонимных, неидентифицируемых аналитических данных" — язык, рассчитанный на то, чтобы казаться безобидным во время проверки разрешений.

На самом деле они захватывали полный контент AI-разговоров. Разрешение на аналитику было средством; эксфильтрация AI-разговоров была полезной нагрузкой.

Эта техника — использование безобидно звучащих разрешений для включения вредоносного сбора данных — представляет собой оперативный план, который сделал категорию угроз расширений Chrome такой настойчивой. Пользователи, которые никогда бы не нажали на фишинговую ссылку, намеренно устанавливали эти расширения из Chrome Web Store, потому что они казались предлагающими преимущества для продуктивности AI.

Более широкий паттерн: 67% AI-расширений собирают ваши данные

Инцидент января 2026 года не был исключением. Исследование Incogni показало, что 67% AI-расширений Chrome активно собирают данные пользователей — цифра, подтвержденная в нескольких независимых анализах экосистемы расширений.

Это основной парадокс рынка расширений для AI-приватности: расширения, которые пользователи устанавливают специально для защиты своей AI-приватности, в большинстве случаев собирают те же данные.

Рынок создал категорию — инструменты AI-приватности для браузеров — но не создал надежных механизмов для пользователей, чтобы проверить, действительно ли данное расширение обеспечивает приватность или просто утверждает это. Результат: рынок, где инструмент, установленный для защиты, сам является вектором атаки.

Архитектура, которая отличает безопасное от небезопасного

Инцидент января 2026 года иллюстрирует конкретное техническое различие, которое пользователи должны понимать при оценке любого расширения Chrome, связанного с AI.

Небезопасная архитектура — маршрутизация через серверы расширения:

  1. Пользователь вводит текст в ChatGPT
  2. Расширение перехватывает текст
  3. Расширение передает текст на свой собственный сервер для "обработки"
  4. Сервер возвращает обработанный текст
  5. Расширение отправляет в ChatGPT

В этой архитектуре каждый запрос проходит через инфраструктуру разработчика расширения. Разработчик расширения имеет полный доступ к содержимому разговоров. Если расширение вредоносное (или позже приобретено вредоносным актером, или подвергнуто атаке), весь этот контент становится доступным.

Безопасная архитектура — только локальная обработка:

  1. Пользователь вводит текст в ChatGPT
  2. Расширение перехватывает текст
  3. Расширение обрабатывает текст локально в браузере (используя тот же JavaScript-движок, который управляет расширением)
  4. Обработанный текст отправляется непосредственно в ChatGPT

В этой архитектуре ничего не покидает браузер пользователя, кроме окончательного обработанного текста, отправленного в AI-сервис. Инфраструктура разработчика расширения никогда не находится на пути данных.

Вопрос, который следует задать любому расширению для AI-приватности: где происходит обработка? Если ответ включает серверы самого расширения, ваши данные проходят через третью сторону.

Пять вопросов, которые следует задать перед установкой расширения для AI-приватности

Учитывая, что 67% AI-расширений Chrome собирают данные пользователей (исследование Incogni), и учитывая, что вредоносные расширения могут появляться в Chrome Web Store с сотнями тысяч пользователей, важна оценочная структура.

1. Где обрабатывается обнаружение PII? Спросите напрямую или найдите в политике конфиденциальности: выполняется ли обнаружение PII локально в браузере, или текст отправляется на серверы расширения для анализа? Локальная обработка означает, что разработчик расширения никогда не видит ваш текст.

2. Что происходит с содержимым разговоров? Расширения, которые "защищают", маршрутизируя через свои собственные прокси-серверы, имеют полный доступ ко всему, что вы вводите. Расширения, которые модифицируют текст локально и отправляют непосредственно в AI-сервис, не имеют такого доступа.

3. Кто является проверенным издателем? Система проверки издателей Chrome Web Store несовершенна — расширения января 2026 года прошли — но проверенный издатель с установленной идентичностью и бизнес-моделью, независимой от сбора данных, более надежен, чем анонимный издатель с бесплатным расширением и без очевидной модели дохода.

4. Есть ли независимая сертификация безопасности? Сертификация ISO 27001 охватывает систему управления информационной безопасностью поставщика, включая их практики разработки и распространения расширений. Независимые аудиты безопасности предоставляют внешнюю проверку заявлений.

5. Какова бизнес-модель? Самый надежный сигнал: как этот разработчик бесплатного расширения зарабатывает деньги? Если нет очевидной модели дохода, данные пользователей, вероятно, являются продуктом. Расширение, которое является частью платного SaaS-продукта с проверяемой бизнес-моделью, имеет меньше стимулов для скрытой монетизации данных пользователей.

Что инцидент января 2026 года раскрывает о безопасности AI

Скомпрометированные 900,000+ пользователей в январе 2026 года не были неосведомленными. Это были профессионалы, которые искали инструменты для продуктивности AI, которые хотели защиты приватности для своих взаимодействий с AI и которые устанавливали то, что казалось законными инструментами из Chrome Web Store.

Атака сработала, потому что:

Расширения предлагали реальную функциональность: Они не были чисто вредоносными — они предоставляли функции, связанные с AI, наряду с эксфильтрацией. Это сделало их функционально неотличимыми от законных инструментов во время случайного использования.

Сигналы доверия были созданы: Сотни тысяч пользователей создают социальное доказательство. Пользователи, которые видели 600,000 установок, были более склонны установить, а не менее.

Запрос на разрешение был разработан так, чтобы не вызывать беспокойства: "Анонимная, неидентифицируемая аналитика" — это именно тот вид языка разрешений, который пользователи одобряют без проверки.

Эксфильтрация была запланирована так, чтобы минимизировать обнаружение: 30-минутные интервалы достаточно часты, чтобы захватить все разговоры, но недостаточно часты, чтобы избежать срабатывания мониторинга безопасности на основе аномалий.

Постинцидентная структура доверия

После инцидента января 2026 года команды ИТ-предприятий, оценивающие расширения для AI-приватности для развертывания среди своих сотрудников, должны применять более строгую структуру доверия, чем существовала ранее.

Минимально необходимые элементы:

  • Архитектура локальной обработки — подтвержденная техническим обзором или независимым аудитом, а не просто заявленная в маркетинге
  • Проверка идентичности издателя — установленная компания с проверяемой бизнес-моделью и историей
  • Независимая сертификация безопасности — ISO 27001 или эквивалент
  • Политика конфиденциальности, которая конкретно касается потоков данных расширения — включая то, что собирается, куда отправляется и при каких обстоятельствах
  • Без маршрутизации через серверы разработчика расширения для основной функциональности приватности

Организации, которые развертывают AI-расширения для сотен или тысяч сотрудников, также должны учитывать:

  • Регулярные аудиты установленных расширений на предмет поведения эксфильтрации данных
  • Мониторинг сети для обнаружения неожиданных внешних подключений от процессов браузера
  • Списки разрешенных расширений, развернутых через политику Chrome Enterprise

Инцидент января 2026 года был предупреждением. Уровень сбора данных в 67% среди AI-расширений предполагает, что предупреждение было оправданным.

Расширение Chrome от anonym.legal обрабатывает обнаружение PII локально — никакое содержимое разговоров не передается на серверы anonym.legal во время обнаружения PII. Анонимизация происходит в браузере перед тем, как модифицированный запрос отправляется в AI-сервис. Опубликовано anonym.legal, сертифицировано по ISO 27001.

Источники:

Связанные статьи

Безопасность ИИ

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Безопасность ИИ

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

Безопасность ИИ

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Готовы защитить ваши данные?

Начните анонимизацию PII с 285+ типов сущностей на 48 языках.

Начать бесплатный пробный периодПосмотреть функции