Cập nhật cho năm 2026
Hầu Hết Tiện Ích AI Chưa Bao Giờ Được Kiểm Toán
Chrome Web Store lưu trữ hơn 180.000 tiện ích mở rộng trình duyệt. Nhiều — chủ yếu là công cụ AI — yêu cầu quyền truy cập rộng. Chúng đọc mọi trang bạn truy cập. Chúng thấy clipboard của bạn. Chúng có thể chặn hoặc thay đổi yêu cầu mạng.
USENIX Security 2025 phát hiện 83% tiện ích Chrome với quyền rộng chưa bao giờ được kiểm toán. Nhà phát triển xây dựng chúng, xuất bản chúng, và người dùng cài đặt hàng triệu lần. Không ai kiểm tra xem mỗi công cụ có làm đúng những gì nó tuyên bố không.
Khoảng trống đó mang tính cấu trúc. Chrome Web Store quét phần mềm độc hại đã biết. Nó kiểm tra các quy tắc chính sách. Nó không thể xác nhận liệu việc thu thập dữ liệu có được tiết lộ đầy đủ không. Nó không thể phát hiện liệu dữ liệu có chảy đến bên thứ ba ẩn không.
Một Nửa Nhân Viên Doanh Nghiệp Chạy Công Cụ Chưa Được Phê Duyệt
Báo cáo Bảo Mật Trình Duyệt Doanh Nghiệp LayerX 2025 phát hiện 45% nhân viên doanh nghiệp dùng tiện ích trình duyệt mà IT chưa bao giờ phê duyệt. Mẫu này phổ biến. Nhân viên tìm thấy công cụ hữu ích. Họ cài đặt nó. IT không bao giờ biết.
Kết hợp 83% chưa kiểm toán với 45% chưa phê duyệt. Gần một nửa nhân viên doanh nghiệp có thể đang chạy các công cụ chưa bao giờ được kiểm tra bảo mật. Những nhân viên đó xử lý dữ liệu nhạy cảm của công ty mỗi ngày.
Với các ngành được quản lý, rủi ro là trực tiếp. Nhân viên HR dùng công cụ chưa được kiểm tra đọc nội dung clipboard có thể đã gửi dữ liệu cá nhân đến bên thứ ba không rõ. Luật sư dùng công cụ viết AI chưa được kiểm tra có thể đã gửi dữ liệu khách hàng đến bên không rõ. Xem hướng dẫn tuân thủ pháp lý để biết các rủi ro này ánh xạ như thế nào tới GDPR, HIPAA và các khung pháp lý liên quan.
Sự Cố 900K Người Dùng Cho Thấy Gì
Một sự cố được báo cáo đầu năm 2026 cho thấy chế độ thất bại. Các tiện ích Chrome độc hại đã làm lộ nhật ký chat AI của ước tính 900.000 người dùng. Khoảng 600.000 đến từ một công cụ. Khoảng 300.000 đến từ công cụ khác. Cả hai có vẻ cung cấp tính năng AI thực sự. Cả hai đều được liệt kê trong Chrome Web Store. Cả hai đều có cơ sở người dùng lớn.
Đánh cắp dữ liệu hoàn tất trong vòng 30 phút sau khi cài đặt. Vào thời điểm các nhà nghiên cứu tìm thấy các công cụ, gần một triệu người dùng đã mất kiểm soát lịch sử chat AI của họ. Bao gồm bất kỳ nội dung nhạy cảm nào họ đã nhập.
Nghiên cứu Incogni 2025 phát hiện 67% tiện ích Chrome AI thu thập dữ liệu người dùng. Thực hành thu thập, tiết lộ và mục tiêu dữ liệu rất khác nhau trong nhóm đó. Xem tổng quan bảo mật và tuân thủ để biết các kiểm soát cấp trình duyệt so sánh như thế nào với việc tin tưởng hành vi của từng công cụ.
Khung Quản Trị Doanh Nghiệp
Chặn tất cả tiện ích trình duyệt không thực tế. Chi phí quá cao. Phản ứng đúng là khung quản trị giới hạn phơi nhiễm với các công cụ đã được kiểm tra và phê duyệt — chủ yếu cho việc dùng AI.
Allowlist tiện ích. Xác định tiện ích nào được phép trên thiết bị doanh nghiệp. Yêu cầu đánh giá bảo mật trước khi thêm công cụ mới. Dùng chính sách Chrome Enterprise để chặn cài đặt ngoài danh sách đã phê duyệt.
Xem xét nghiêm ngặt hơn cho công cụ AI. Bất kỳ tiện ích nào xử lý prompt AI đều được xem xét thêm. Kiểm tra lưu lượng mạng để xem dữ liệu đi đâu. Xem xét toàn bộ phạm vi quyền. Xác minh danh tính nhà xuất bản.
Kiểm soát cấp trình duyệt. Với các công cụ AI đã được phê duyệt, áp dụng các kiểm soát chặn nội dung nhạy cảm trước khi đến nhà cung cấp AI. Điều này loại bỏ nhu cầu tin tưởng hành vi của từng tiện ích.
Tỷ lệ 83% chưa kiểm toán không phải vấn đề người dùng có thể giải quyết. Người dùng không thể tự kiểm toán tiện ích Chrome. Quản trị doanh nghiệp — danh sách phê duyệt, thực thi chính sách và kiểm soát kỹ thuật — là câu trả lời đáng tin cậy. Xem FAQ và thuật ngữ DLP trình duyệt để biết thêm.
Tiện ích Chrome của anonym.legal chạy quét PII cục bộ trong trình duyệt. Không có nội dung chat nào đến máy chủ anonym.legal trong quá trình quét. Prompt được sửa đổi, che giấu mới được gửi đến dịch vụ AI.