Denetimsiz Uzantı Sorunu
Chrome Web Mağazası 180,000'den fazla uzantı içermektedir. Bu uzantıların birçoğu — özellikle web tarayıcısına AI yetenekleri ekleyenler — geniş izinler talep etmektedir: tüm web sitesi içeriğine erişim, panoya erişim, depolama erişimi ve ağ isteği kesme.
USENIX 2025 araştırması, geniş izinlere sahip Chrome uzantılarının %83'ünün hiç güvenlik denetiminden geçmediğini bulmuştur. Bu uzantılar, bağımsız bir doğrulama olmaksızın, milyonlarca kullanıcı tarafından oluşturulmuş, yayımlanmış ve yüklenmiştir; bu da onların iddia ettikleri gibi çalıştıklarını ve başka bir şey yapmadıklarını doğrulamaz.
Güvenlik denetimi açığı, tarayıcı uzantılarının dağıtım şeklinin yapısal bir özelliğidir. Chrome Web Mağazası, kötü amaçlı yazılım imzaları ve politika ihlalleri için otomatik tarama yapar, ancak otomatik tarama, bir uzantının veri toplama uygulamalarının doğru bir şekilde açıklanıp açıklanmadığını, API verilerinin açıklanmayan üçüncü taraflara iletilip iletilmediğini veya uzantının belirtilen işlevselliğinin tam işlevselliği olup olmadığını değerlendiremez.
Şirketlerin Maruziyeti
Forrester Research 2024, şirket çalışanlarının %45'inin IT tarafından onaylanmamış tarayıcı uzantıları kullandığını bulmuştur. Bu rakam, tarayıcı uzantılarının genellikle benimsenme şeklinin resmi olmayan bir yansımasıdır: bir çalışan bir verimlilik aracı bulur, yükler ve kullanır — IT departmanıyla herhangi bir etkileşim olmaksızın.
%83'ü denetimsiz ve %45'i onaylanmamış olan uzantıların birleşimi, neredeyse yarıdan fazla şirket çalışanının, güvenlik özellikleri kimse tarafından doğrulanmamış uzantıları kullandığı anlamına gelir — ve bu uzantıların kullanımı, bu çalışanların işlediği verilerden sorumlu olan organizasyon tarafından onaylanmamıştır.
Düzenlenmiş sektörlerdeki organizasyonlar için bu, doğrudan uyum maruziyeti yaratır. Panoya içerik toplayan onaylanmamış bir tarayıcı uzantısı kullanan bir İK çalışanı, çalışan kişisel verilerini denetlenmemiş bir üçüncü tarafa açığa çıkarmış olabilir. Sayfa içeriğine erişen onaylanmamış bir AI yazım asistanı kullanan bir hukuk profesyoneli, müşteri gizli bilgilerini açığa çıkarmış olabilir.
900K Kullanıcı Olayının Gösterdiği
Ocak 2026'da kötü niyetli Chrome uzantılarının 900,000 kullanıcının AI sohbet geçmişlerini açığa çıkardığı olay — 600,000 bir uzantıdan, 300,000 diğerinden — %83 denetimsiz rakamının tanımladığı başarısızlık modunu göstermektedir.
Uzantılar, meşru AI ile ilgili işlevsellik sağlıyor gibi görünüyordu. Chrome Web Mağazası'nda mevcuttular. Yeterince büyük kullanıcı tabanlarına sahiptiler ki bu da meşruiyet öneriyordu. Ve AI sohbet içeriğini dış sunuculara sızdırıyorlardı.
Sızdırma, yüklemeden sonra 30 dakika içinde tamamlandı. Güvenlik araştırmacıları uzantıları tanımlayıp raporladıklarında, 900,000 kullanıcının sohbet içeriği — bu kullanıcıların AI araçlarıyla tartıştığı hassas bilgiler dahil — kontrolünden çıkmıştı.
Caviard.ai (2025) tarafından yapılan bir araştırma, AI Chrome uzantılarının %67'sinin kullanıcı verisi topladığını bulmuştur — AI uzantı kategorisinin çoğunluğu. Veri toplayanlar arasında, açıklama, güvenlik uygulamaları ve iletim hedefleri büyük ölçüde değişiklik göstermektedir.
Şirket Tarayıcı Yönetim Çerçevesi
Şirket güvenlik ekipleri için, denetimsiz uzantı sorununa uygun yanıt, tüm tarayıcı uzantılarını yasaklamak değildir — bu yaklaşımın operasyonel etkisi önemlidir. Uygun yanıt, AI işlevselliği için denetlenen, onaylanan uzantılara maruziyeti sınırlayan bir yönetim çerçevesi oluşturmaktır.
Uzantı beyaz listeleme: Şirket cihazları için onaylı tarayıcı uzantıları listesini tanımlayın. Listeye eklenmeden önce güvenlik ekibi incelemesi. Chrome Enterprise politika uygulaması, beyaz listede olmayan uzantıların yüklenmesini engeller.
AI'ya özel uzantı incelemesi: AI istemlerini işleyen uzantılar ek inceleme alır — iletim hedeflerini doğrulamak için ağ trafiği analizi, izin kapsamı incelemesi ve yayıncı kimliği doğrulaması.
AI içeriği için teknik kontroller: Onaylı AI araçları kullanan çalışanlar için, tarayıcı düzeyinde teknik kontroller (uzantı davranışına güvenmek yerine) hassas içeriği AI sağlayıcılarına ulaşmadan önce keser. Bu, güvenlik yükümlülüğünü bireysel uzantılara güvenmekten ayırır.
%83 denetimsiz oranı, kullanıcı eğitimleri ile ele alınamaz — kullanıcılar Chrome uzantılarını kendileri denetleyemez. Onaylı ile onaylanmamış olanı ayıran şirket yönetimi ve uzantı davranışına bakılmaksızın veri koruması sağlayan teknik kontroller ile ele alınabilir.
Kaynaklar: