Инцидент января 2026 года
Два расширения Chrome, обнаруженные в январе 2026 года — "Chat GPT для Chrome с GPT-5, Claude Sonnet и DeepSeek AI" (более 600,000 пользователей) и "AI Sidebar с Deepseek, ChatGPT, Claude и другими" (более 300,000 пользователей) — были обнаружены экстрагирующими полные истории разговоров AI каждые 30 минут на удаленный сервер командования и управления.
Расширения представляли себя как инструменты для повышения конфиденциальности и AI. Их описания в Chrome Web Store подчеркивали защиту данных пользователей и дизайн с приоритетом на конфиденциальность. Их фактическое поведение — подтвержденное анализом Astrix Security — заключалось в захвате полных историй разговоров из ChatGPT, DeepSeek и других платформ AI, а затем передаче их на сервер, контролируемый злоумышленником. Захваченные разговоры включали исходный код, личную идентифицируемую информацию, обсуждения юридических стратегий, бизнес-планы и финансовые данные.
Расширения запрашивали разрешение на "сбор анонимных, неидентифицируемых аналитических данных." На самом деле они собирали полностью идентифицируемые, высокочувствительные данные с максимальной точностью.
Проблема инверсии безопасности
Пользователи, которые специально устанавливают расширения для конфиденциальности AI, выражают предпочтение инструментам, которые защищают их разговоры AI. Инцидент января 2026 года зафиксировал наихудший исход этого предпочтения: инструмент, установленный для целей конфиденциальности, сам является механизмом экстракции данных.
Это не просто риск, который нужно взвесить — это задокументированный исход, затрагивающий 900,000 пользователей одновременно. Автоматическое сканирование Chrome Web Store не обнаружило вредоносного поведения, потому что сбор данных расширениями был замаскирован под аналитику. Отзывы пользователей не выявили проблемы, потому что пользователи не имели видимости сетевого трафика.
Исследование Incogni показало, что 67% расширений AI для Chrome активно собирают данные пользователей — эта цифра включает как раскрытый сбор аналитики, так и недекларированную экстракцию. Значительный вопрос для команд ИТ в предприятиях, внедряющих расширения для конфиденциальности AI, не "собирает ли это расширение какие-либо данные?", а "могу ли я проверить, что поток данных этого расширения архитектурно неспособен экстрагировать содержимое разговоров?"
Тест на проверку архитектуры
Тест на проверку надежной локальной обработки является техническим, а не декларативным: может ли быть независимо проверена заявленная локальная обработка расширения с помощью мониторинга сети?
Расширение, которое обрабатывает обнаружение PII локально — запуская модель обнаружения на стороне клиента с использованием TensorFlow.js, WASM или локального бинарного файла — не создает исходящего сетевого трафика во время фазы обнаружения PII. Мониторинг сети на рабочей станции пользователя должен показывать отсутствие соединения с любым внешним сервером между событием вставки пользователя и отправкой на платформу AI. Единственным исходящим трафиком должен быть анонимизированный запрос, отправляемый поставщику AI.
Расширение, которое направляет трафик через прокси-сервер — даже если прокси описан как "релей, сохраняющий конфиденциальность" — отправляет содержимое пользователя на сервер третьей стороны. Безопасность оператора прокси теперь является частью модели угроз пользователя.
Для команд ИТ в предприятиях, добавляющих расширения браузера в корпоративный список одобренных, протокол проверки таков: развернуть расширение в контролируемой сетевой среде, сгенерировать репрезентативный тестовый трафик и проверить, что не происходит исходящее соединение с серверами издателя расширения во время обработки PII. Расширения, которые не могут пройти этот тест, не должны быть одобрены для развертывания в предприятиях, независимо от их заявленных обязательств по конфиденциальности.
Архитектура локальной обработки — где все обнаружения выполняются на стороне клиента без серверного компонента для этапа анонимизации — является архитектурным свойством, которое делает заявления о конфиденциальности расширения независимо проверяемыми, а не требующими доверия к утверждениям издателя.
Источники: