เหตุการณ์ในเดือนมกราคม 2026
อัปเดตสำหรับปี 2026 ในเดือนมกราคม 2026 พบ Chrome add-on ที่เป็นอันตราย 2 ตัวมีผู้ใช้กว่า 900,000 คน
ชื่อของพวกมันดูเหมือนเครื่องมือ AI จริงๆ:
- "Chat GPT for Chrome with GPT-5, Claude Sonnet and DeepSeek AI" — ผู้ใช้กว่า 600,000 คน
- "AI Sidebar with Deepseek, ChatGPT, Claude and more" — ผู้ใช้กว่า 300,000 คน
ทั้งสองทำสิ่งเดียวกัน ทุก 30 นาที พวกมันส่งบทสนทนา AI ทั้งหมดไปยังเซิร์ฟเวอร์ระยะไกล ข้อมูลที่ถูกขโมยรวมถึงโค้ด รายละเอียดส่วนตัว บันทึกทางกฎหมาย และแผนธุรกิจ Astrix Security ยืนยันเรื่องนี้
add-on เหล่านี้ขอ "เก็บข้อมูลวิเคราะห์ที่ไม่ระบุตัวตนและไม่สามารถระบุตัวได้" คำพูดนั้นฟังดูปลอดภัย แต่ไม่ใช่ ข้อมูลที่รวบรวมสามารถระบุตัวตนได้อย่างสมบูรณ์และมีความอ่อนไหวสูง
ปัญหาการกลับทิศของความปลอดภัย
ผู้ใช้ที่ติดตั้งเครื่องมือความเป็นส่วนตัว AI ต้องการการป้องกัน กรณีของเดือนมกราคม 2026 แสดงให้เห็นผลลัพธ์ที่เลวร้ายที่สุด นั่นคือเครื่องมือที่คุณติดตั้งเพื่อความเป็นส่วนตัวเป็นตัวขโมยข้อมูลของคุณเอง
นี่ไม่ใช่ทฤษฎี มันเกิดขึ้นกับผู้ใช้ 900,000 คนในคราวเดียวกัน Chrome Web Store ไม่สามารถตรวจจับได้ รีวิวของผู้ใช้ไม่สามารถเปิดเผยได้ การขโมยถูกซ่อนเป็น "analytics"
Incogni พบว่า 67% ของ Chrome add-on ด้าน AI รวบรวมข้อมูลผู้ใช้อย่างแข็งขัน สำหรับทีม IT คำถามสำคัญไม่ใช่ "เครื่องมือนี้รวบรวมข้อมูลหรือเปล่า?" แต่คือ "ฉันสามารถยืนยันได้ไหมว่า add-on นี้ไม่สามารถส่งเนื้อหาบทสนทนาไปยังบุคคลที่สามได้?"
การทดสอบยืนยันสถาปัตยกรรม
มีการตรวจสอบที่เชื่อถือได้หนึ่งอย่างสำหรับการประมวลผลในเครื่อง นั่นคือการติดตามเครือข่าย
add-on ที่ตรวจจับ PII ในเครื่องจะสร้าง traffic ขาออกเป็นศูนย์ ระหว่างการตรวจจับ ไม่มีการเชื่อมต่อกับเซิร์ฟเวอร์ภายนอกใดๆ ที่ควรปรากฏระหว่างการวาง prompt ของผู้ใช้และการส่งไปยังแพลตฟอร์ม AI มีเพียง prompt ที่ผ่านการประมวลผลแล้วเท่านั้นที่ส่งออก
add-on ที่ส่ง traffic ผ่านพร็อกซีจะส่งเนื้อหาของคุณไปยังเซิร์ฟเวอร์ของบุคคลที่สาม ผู้ดำเนินการเซิร์ฟเวอร์นั้นตอนนี้อยู่ในโมเดลภัยคุกคามของคุณ
ขั้นตอนการยืนยันของ IT นั้นง่าย:
- ติดตั้ง add-on ในเครือข่ายที่ถูกติดตาม
- รัน test prompt
- ตรวจสอบการเชื่อมต่อขาออกไปยังเซิร์ฟเวอร์ของผู้เผยแพร่ระหว่างการประมวลผล PII
หากไม่ผ่านการทดสอบนี้ อย่าอนุมัติ การอ้างทางการตลาดไม่สำคัญ Traffic เครือข่ายคือหลักฐาน
การประมวลผลในเครื่องน่าเชื่อถือเพราะ สามารถตรวจสอบได้ คุณไม่จำเป็นต้องไว้ใจผู้เผยแพร่ คุณสามารถสังเกตพฤติกรรมได้โดยตรง ดูวิธีที่ anonym.legal จัดการสิ่งนี้ใน ภาพรวมความปลอดภัยของ Chrome extension และ คู่มือการปฏิบัติตาม
สิ่งที่ทีม IT ควรต้องการ
หลังจากเดือนมกราคม 2026 มาตรฐานสำหรับเครื่องมือ browser AI ต้องสูงขึ้น
รายการขั้นต่ำ:
- การประมวลผลในเครื่อง — ยืนยันด้วยการตรวจสอบเครือข่าย ไม่ใช่แค่การอ้าง
- ผู้เผยแพร่ที่รู้จัก — บริษัทจริง โมเดลธุรกิจชัดเจน
- การรับรองอิสระ — ISO 27001 หรือเทียบเท่า
- ไม่มีการกำหนดเส้นทางผ่านเซิร์ฟเวอร์ผู้พัฒนา สำหรับคุณสมบัติความเป็นส่วนตัวหลัก
AI browser add-on ส่วนใหญ่จะไม่ผ่านรายการนี้ อัตราการรวบรวม 67% แสดงให้เห็นสิ่งนั้นชัดเจน จำนวนการติดตั้งสูงไม่ใช่สัญญาณความปลอดภัย เครื่องมือในเดือนมกราคม 2026 มีผู้ใช้หลายแสนคนก่อนที่ใครจะตรวจสอบ
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเครื่องมือ browser AI ที่ปลอดภัย ดู หน้าความปลอดภัยและการปฏิบัติตาม