อัปเดตสำหรับปี 2026
Extension AI ส่วนใหญ่ไม่เคยถูกตรวจสอบ
Chrome Web Store มี browser extension มากกว่า 180,000 รายการ หลายรายการ โดยเฉพาะเครื่องมือ AI ต้องการสิทธิ์การเข้าถึงที่กว้างขวาง พวกมันอ่านทุกหน้าที่คุณเยี่ยมชม พวกมันเห็น clipboard ของคุณ พวกมันสามารถบล็อกหรือแก้ไข network requests ได้
USENIX Security 2025 พบว่า 83% ของ Chrome extension ที่มีสิทธิ์กว้างไม่เคยถูกตรวจสอบ นักพัฒนาสร้างมัน เผยแพร่มัน และผู้ใช้ติดตั้งมันเป็นล้านรายการ ไม่มีใครตรวจสอบว่าแต่ละเครื่องมือทำเฉพาะสิ่งที่อ้างหรือไม่
ช่องว่างนั้นเป็นโครงสร้าง Chrome Web Store สแกนหามัลแวร์ที่รู้จัก ตรวจสอบกฎนโยบาย แต่ไม่สามารถยืนยันได้ว่าการเก็บรวบรวมข้อมูลได้รับการเปิดเผยอย่างครบถ้วน ไม่สามารถตรวจจับได้ว่าข้อมูลไหลไปยังบุคคลที่สามที่ซ่อนอยู่หรือไม่
พนักงานองค์กรครึ่งหนึ่งใช้เครื่องมือที่ไม่ได้รับอนุมัติ
รายงาน Enterprise Browser Security Report ของ LayerX 2025 พบว่า 45% ของพนักงานองค์กรใช้ browser extension ที่ IT ไม่เคยอนุมัติ รูปแบบนี้พบบ่อย พนักงานพบเครื่องมือที่มีประโยชน์ ติดตั้งมัน IT ไม่เคยรู้
รวม 83% ที่ไม่ได้รับการตรวจสอบกับ 45% ที่ไม่ได้รับการอนุมัติ พนักงานองค์กรเกือบครึ่งหนึ่งอาจใช้เครื่องมือที่ความปลอดภัยไม่เคยถูกตรวจสอบ พนักงานเหล่านั้นจัดการข้อมูลบริษัทที่ละเอียดอ่อนทุกวัน
สำหรับภาคส่วนที่อยู่ภายใต้การกำกับดูแล ความเสี่ยงนั้นตรงไปตรงมา พนักงาน HR ที่ใช้เครื่องมือที่ไม่ได้รับการตรวจสอบซึ่งอ่านเนื้อหา clipboard อาจส่งข้อมูลส่วนบุคคลไปยังบุคคลที่สามที่ไม่รู้จัก ทนายความที่ใช้เครื่องมือ AI เขียนที่ไม่ได้รับการตรวจสอบอาจส่งข้อมูลลูกค้าไปยังบุคคลที่ไม่รู้จัก ดูที่ คำแนะนำการปฏิบัติตามกฎหมาย ของเราสำหรับวิธีที่ความเสี่ยงเหล่านี้แมปไปยัง GDPR, HIPAA และกรอบที่เกี่ยวข้อง
สิ่งที่เหตุการณ์ผู้ใช้ 900K แสดงให้เห็น
เหตุการณ์ที่รายงานในต้นปี 2026 แสดงให้เห็นรูปแบบความล้มเหลว Chrome extension ที่เป็นอันตรายเปิดเผย AI chat logs ของผู้ใช้ประมาณ 900,000 คน ประมาณ 600,000 คนมาจากเครื่องมือหนึ่ง ประมาณ 300,000 คนมาจากอีกเครื่องมือหนึ่ง ทั้งสองดูเหมือนมีคุณสมบัติ AI จริงๆ ทั้งสองถูกระบุไว้ใน Chrome Web Store ทั้งสองมีฐานผู้ใช้ขนาดใหญ่
การโจรกรรมข้อมูลเกิดขึ้น สมบูรณ์ภายใน 30 นาที หลังจากติดตั้ง เมื่อนักวิจัยพบเครื่องมือ ผู้ใช้เกือบหนึ่งล้านคนได้สูญเสียการควบคุมประวัติ AI chat ของพวกเขาแล้ว รวมถึงเนื้อหาที่ละเอียดอ่อนที่พวกเขาพิมพ์
การศึกษาของ Incogni 2025 พบว่า 67% ของ AI Chrome extension เก็บรวบรวมข้อมูลผู้ใช้ แนวปฏิบัติในการเก็บรวบรวม การเปิดเผย และเป้าหมายข้อมูลแตกต่างกันอย่างมากในกลุ่มนั้น ดูที่ ภาพรวมความปลอดภัยและการปฏิบัติตาม ของเราสำหรับวิธีที่การควบคุมระดับ browser เปรียบเทียบกับการไว้วางใจพฤติกรรมของเครื่องมือแต่ละตัว
กรอบการกำกับดูแลขององค์กร
การบล็อก browser extension ทั้งหมดไม่ใช่เรื่องที่ทำได้จริง ค่าใช้จ่ายสูงเกินไป การตอบสนองที่ถูกต้องคือกรอบการกำกับดูแลที่จำกัดการเปิดเผยต่อเครื่องมือที่ผ่านการตรวจสอบและอนุมัติ โดยเฉพาะสำหรับการใช้งาน AI
Allowlist ของ extension กำหนด extension ที่อนุญาตบนอุปกรณ์ขององค์กร กำหนดให้ตรวจสอบความปลอดภัยก่อนเพิ่มเครื่องมือใหม่ ใช้นโยบาย Chrome Enterprise เพื่อบล็อกการติดตั้งนอก list ที่อนุมัติ
การตรวจสอบที่เข้มงวดขึ้นสำหรับเครื่องมือ AI Extension ใดๆ ที่จัดการกับ AI prompts จะได้รับการตรวจสอบพิเศษ ตรวจสอบ network traffic เพื่อดูว่าข้อมูลไปที่ไหน ตรวจสอบขอบเขตสิทธิ์ทั้งหมด ยืนยันตัวตนของผู้เผยแพร่
การควบคุมระดับ browser สำหรับเครื่องมือ AI ที่อนุมัติ ใช้การควบคุมที่ตรวจสอบเนื้อหาที่ละเอียดอ่อนก่อนที่จะไปถึงผู้ให้บริการ AI สิ่งนี้ขจัดความจำเป็นในการไว้วางใจพฤติกรรมของ extension แต่ละตัว
อัตรา 83% ที่ไม่ได้รับการตรวจสอบไม่ใช่ปัญหาที่ผู้ใช้สามารถแก้ไขได้ ผู้ใช้ไม่สามารถตรวจสอบ Chrome extension เองได้ การกำกับดูแลขององค์กร ซึ่งรวมถึง approved lists, การบังคับใช้นโยบาย และการควบคุมทางเทคนิค คือคำตอบที่เชื่อถือได้ ดูที่ FAQ และ อภิธานศัพท์คำศัพท์ browser DLP สำหรับข้อมูลเพิ่มเติม
Chrome extension ของ anonym.legal ทำการสแกน PII ในเครื่อง browser ไม่มีเนื้อหา chat ไปถึงเซิร์ฟเวอร์ anonym.legal ระหว่างการสแกน prompt ที่ถูกแก้ไขและปิดบังแล้วคือสิ่งที่ส่งไปยังบริการ AI