Ina-update para sa 2026
Karamihan sa Mga AI Extension ay Hindi Kailanman Na-audit
Nag-ho-host ang Chrome Web Store ng mahigit 180,000 browser extension. Marami - pangunahin ang mga AI tool - ang humihiling ng malawak na access. Binabasa nila ang bawat pahinang binibisita mo. Nakikita nila ang iyong clipboard. Maaari nilang hadlangan o baguhin ang mga network request.
Natuklasan ng USENIX Security 2025 na 83% ng mga Chrome extension na may malawak na pahintulot ay hindi kailanman na-audit. Ginawa ng mga developer ang mga ito, inilathala ang mga ito, at nag-install ang mga gumagamit ng milyun-milyon. Walang nagsuri kung ang bawat tool ay gumagawa lamang ng sinasabi nito.
Ang agwat na iyon ay istruktura. Nag-i-scan ang Chrome Web Store para sa kilalang malware. Sinusuri nito ang mga patakaran. Hindi nito makumpirma kung ang koleksyon ng datos ay ganap na naisiwalat. Hindi nito matukoy kung ang datos ay dumadaloy sa mga nakatagong third party.
Kalahati ng Mga Manggagawa ng Enterprise ay Nagpapatakbo ng Mga Hindi Aprubadong Tool
Natuklasan ng LayerX's 2025 Enterprise Browser Security Report na 45% ng mga empleyado ng enterprise ay gumagamit ng mga browser extension na hindi kailanman inaprubahan ng IT. Karaniwan ang pattern. Nakahanap ang isang empleyado ng kapaki-pakinabang na tool. Ini-install nila ito. Hindi ito nalaman ng IT.
Pagesamahin ang 83% na hindi na-audit at 45% na hindi aprubado. Halos kalahati ng mga empleyado ng enterprise ay maaaring nagpapatakbo ng mga tool na ang seguridad ay hindi kailanman nasuri. Ang mga empleyado na iyon ay humahawak ng sensitibong datos ng kumpanya araw-araw.
Para sa mga regulated na sektor, direkta ang panganib. Ang isang HR empleyado na gumagamit ng hindi nasuring tool na nagbabasa ng nilalaman ng clipboard ay maaaring nagpadala ng personal na datos sa isang hindi kilalang third party. Ang isang abogado na gumagamit ng hindi nasuring AI writing tool ay maaaring nagpadala ng datos ng kliyente sa isang hindi kilalang partido. Tingnan ang aming gabay sa legal na compliance para sa kung paano nagmamapa ang mga panganib na ito sa GDPR, HIPAA, at mga kaugnay na framework.
Ano ang Ipinapakita ng Insidente na may 900K Gumagamit
Isang naiulat na insidente sa unang bahagi ng 2026 ang nagpapakita ng failure mode. Ang mga malisyosong Chrome extension ay naglantad ng mga AI chat log ng tinatayang 900,000 gumagamit. Humigit-kumulang 600,000 ang nagmula sa isang tool. Humigit-kumulang 300,000 ang nagmula sa isa pa. Parehong lumabas na nag-aalok ng tunay na mga feature ng AI. Parehong nakalista sa Chrome Web Store. Parehong may malaking base ng gumagamit.
Ang pagnanakaw ng datos ay kumpleto sa loob ng 30 minuto mula sa pag-install. Sa oras na nahanap ng mga mananaliksik ang mga tool, halos isang milyong gumagamit ay nawalan na ng kontrol ng kanilang kasaysayan ng AI chat. Kasama doon ang anumang sensitibong nilalaman na na-type nila.
Natuklasan ng pag-aaral ng Incogni sa 2025 na 67% ng mga AI Chrome extension ay nangongolekta ng datos ng gumagamit. Ang mga kasanayan sa koleksyon, pagsisiwalat, at mga target ng datos ay malawak na nagkakaiba sa grupong iyon. Tingnan ang aming pangkalahatang-ideya ng seguridad at compliance para sa kung paano nagkukumpara ang mga kontrol sa antas ng browser sa pagtitiwala sa sariling pag-uugali ng bawat tool.
Isang Enterprise Governance Framework
Ang pagharang sa lahat ng browser extension ay hindi praktikal. Masyadong mataas ang gastos. Ang tamang tugon ay isang governance framework na nililimitahan ang exposure sa mga nasuri at aprubadong tool - pangunahin para sa paggamit ng AI.
Extension allowlisting. Tukuyin kung aling mga extension ang pinahihintulutan sa mga enterprise device. Mangailangan ng pagsusuri sa seguridad bago magdagdag ng anumang bagong tool. Gamitin ang patakaran ng Chrome Enterprise para harangan ang mga install sa labas ng aprubadong listahan.
Mas mahigpit na pagsusuri para sa mga AI tool. Ang anumang extension na humahawak ng mga AI prompt ay nakakakuha ng karagdagang pagsisiyasat. Suriin ang trapiko ng network para makita kung saan napupunta ang datos. Suriin ang buong saklaw ng pahintulot. I-verify ang pagkakakilanlan ng publisher.
Mga kontrol sa antas ng browser. Para sa mga aprubadong AI tool, mag-apply ng mga kontrol na humahadlang sa sensitibong nilalaman bago ito makarating sa mga AI provider. Inaalis nito ang pangangailangan na magtiwala sa sariling pag-uugali ng bawat extension.
Ang 83% na hindi na-audit na rate ay hindi isang problema na maaaring malutas ng mga gumagamit. Hindi maaaring mag-audit ng mga Chrome extension ang mga gumagamit nang mag-isa. Ang enterprise governance - mga aprubadong listahan, pagpapatupad ng patakaran, at mga teknikal na kontrol - ang maaasahang sagot. Tingnan ang aming FAQ at glosaryo ng mga termino ng browser DLP para sa higit pa.
Ang Chrome extension ng anonym.legal ay nagpapatakbo ng PII scanning nang lokal sa browser. Walang nilalaman ng chat na umabot sa mga server ng anonym.legal sa panahon ng pag-scan. Ang binago at naka-mask na prompt ang ipinapadala sa AI service.