Januari 2026-incidenten
Två Chrome-tillägg som upptäcktes i januari 2026 — "Chat GPT för Chrome med GPT-5, Claude Sonnet och DeepSeek AI" (600 000+ användare) och "AI Sidebar med Deepseek, ChatGPT, Claude och mer" (300 000+ användare) — visade sig exfiltrera kompletta AI-konversationshistorier var 30:e minut till en fjärrstyrd kommandocentral.
Tilläggen presenterade sig som verktyg för integritet och AI-förbättring. Deras beskrivningar i Chrome Web Store betonade skydd av användardata och design med fokus på integritet. Deras faktiska beteende — bekräftat av Astrix Securitys analys — var att fånga kompletta konversationshistorier från ChatGPT, DeepSeek och andra AI-plattformar, för att sedan överföra dem till en angriparkontrollerad server. De fångade konversationerna inkluderade källkod, personligt identifierbar information, juridiska strategidiskussioner, affärsplaner och finansiella data.
Tilläggen begärde tillstånd att "samla in anonyma, icke identifierbara analysdata." De samlade faktiskt in helt identifierbar, mycket känslig data med maximal noggrannhet.
Problemet med säkerhetsinversion
Användare som specifikt installerar AI-integritetstillägg uttrycker en preferens för verktyg som skyddar deras AI-konversationer. Januari 2026-incidenten dokumenterade det värsta utfallet av den preferensen: verktyget som installerades för integritetsändamål är i sig själva mekanismen för dataexfiltration.
Detta är inte bara en risk att väga — det är ett dokumenterat utfall som påverkar 900 000 användare samtidigt. Chrome Web Stores automatiserade skanning upptäckte inte det skadliga beteendet eftersom tilläggets datainsamling var maskerad som analys. Användarrecensionerna avslöjade inte problemet eftersom användarna inte hade insyn i nätverkstrafiken.
Incogni's forskning visade att 67% av AI Chrome-tillägg aktivt samlar in användardata — en siffra som inkluderar både offentliggjord analysinsamling och oannonserad exfiltration. Den meningsfulla frågan för IT-team inom företag som implementerar AI-integritetstillägg är inte "samlar detta tillägg in någon data?" utan "kan jag verifiera att detta tilläggs dataflöde är arkitektoniskt oförmöget att exfiltrera konversationsinnehåll?"
Verifieringstest för arkitektur
Verifieringstestet för pålitlig lokal bearbetning är tekniskt, inte deklarativt: kan tilläggets påstådda lokala bearbetning oberoende verifieras genom nätverksövervakning?
Ett tillägg som bearbetar PII-detektering lokalt — som kör detektionsmodellen på klientsidan med TensorFlow.js, WASM eller en lokal binär — producerar noll utgående nätverkstrafik under PII-detekteringsfasen. Nätverksövervakning på användarens arbetsstation bör inte visa någon anslutning till någon extern server mellan användarens klipp-händelse och inlämningen till AI-plattformen. Den enda utgående trafiken bör vara den anonymiserade uppmaningen som går till AI-leverantören.
Ett tillägg som dirigerar trafik genom en proxyserver — även om proxyn beskrivs som en "integritetsskyddande relay" — skickar användarinnehåll till en tredje parts server. Säkerheten för proxyoperatören är nu en del av användarens hotmodell.
För IT-team inom företag som lägger till webbläsartillägg på den företagsgodkända listan är verifieringsprotokollet: implementera tillägget i en övervakad nätverksmiljö, generera representativ testtrafik och verifiera att ingen utgående anslutning till tilläggspublicerarens servrar sker under PII-bearbetning. Tillägg som inte kan klara detta test bör inte godkännas för företagsanvändning oavsett deras angivna integritetsåtaganden.
Den lokala bearbetningsarkitekturen — där all detektion körs på klientsidan utan serverkomponent för anonymiseringssteget — är den arkitektoniska egenskap som gör tilläggets integritetsanspråk oberoende verifierbara, snarare än att kräva förtroende för publicerarens påståenden.
Källor: