2026年1月事件
在2026年1月,安全研究人员发现两个恶意Chrome扩展已影响900,000+用户。
这些扩展的名称故意选择得看起来像合法的AI增强工具:
- "Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI" — 600,000+用户
- "AI Sidebar with Deepseek, ChatGPT, Claude and more" — 300,000+用户
这两个扩展做的事情是一样的:每30分钟将完整的ChatGPT和DeepSeek对话窃取到远程指挥控制服务器。
流出的数据包括源代码、个人可识别信息、正在讨论的法律事务、商业策略和财务数据。用户在AI聊天会话中输入的所有内容——他们认为是私密的所有内容——都被传输给了未知方。
扩展如何绕过信任信号
这些扩展请求权限以"收集匿名、非可识别的分析数据"——这种措辞在权限审查期间看起来无害。
实际上,它们捕获了AI对话的全部内容。分析权限是工具;AI对话的窃取是有效载荷。
这种技术——使用听起来无害的权限来启用有害的数据收集——代表了使Chrome扩展威胁类别如此持久的操作手册。那些绝不会点击钓鱼链接的用户故意从Chrome Web商店安装了这些扩展,因为它们看起来提供了AI生产力的好处。
更广泛的模式:67%的AI扩展收集你的数据
2026年1月事件并不是个例。Incogni的研究发现,67%的AI Chrome扩展积极收集用户数据——这一数据在多个独立分析的扩展生态系统中得到了证实。
这是AI隐私扩展市场的核心悖论:用户专门安装以保护其AI隐私的扩展,在大多数情况下却在收集相同的数据。
市场创建了一个类别——浏览器的AI隐私工具——但没有为用户提供可靠的机制来验证某个扩展是否真正提供隐私或仅仅声称如此。结果:一个为保护而安装的工具本身就是攻击向量。
区分安全与不安全的架构
2026年1月事件说明了用户在评估任何与AI相关的Chrome扩展时应该理解的特定技术区分。
不安全架构——通过扩展的服务器路由:
- 用户在ChatGPT中输入文本
- 扩展拦截文本
- 扩展将文本传输到其自己的后端服务器进行"处理"
- 后端服务器返回处理后的文本
- 扩展提交给ChatGPT
在这种架构中,每个提示都经过扩展开发者的基础设施。扩展开发者可以完全访问对话内容。如果扩展是恶意的(或后来被恶意行为者收购,或被攻击),所有内容都将暴露。
安全架构——仅本地处理:
- 用户在ChatGPT中输入文本
- 扩展拦截文本
- 扩展在浏览器中本地处理文本(使用驱动扩展的相同JavaScript运行时)
- 处理后的文本直接提交给ChatGPT
在这种架构中,除了提交给AI服务的最终处理文本外,没有任何数据离开用户的浏览器。扩展开发者的基础设施从未在数据路径中。
任何AI隐私扩展都应该问的问题是:处理发生在哪里? 如果答案涉及扩展自己的服务器,你的数据正在通过第三方流动。
安装AI隐私扩展前要问的五个问题
鉴于67%的AI Chrome扩展收集用户数据(Incogni研究),并且恶意扩展可能在Chrome Web商店中出现,拥有数十万用户,评估框架显得尤为重要。
1. PII检测在哪里处理? 直接询问或查找隐私政策:PII检测是在浏览器中本地执行,还是文本被发送到扩展的后端服务器进行分析?本地处理意味着扩展开发者永远不会看到你的文本。
2. 对话内容会发生什么? 通过自己的代理服务器路由进行"保护"的扩展可以完全访问你输入的所有内容。那些本地修改文本并直接提交给AI服务的扩展则不能。
3. 谁是经过验证的发布者? Chrome Web商店的发布者验证系统并不完美——2026年1月的扩展通过了——但拥有可验证的商业模式和历史的经过验证的发布者比一个匿名发布者更值得信赖,后者提供免费扩展且没有明显的收入模型。
4. 是否有独立的安全认证? ISO 27001认证涵盖了供应商的信息安全管理系统,包括他们的扩展开发和分发实践。独立的安全审计提供了对所做声明的外部验证。
5. 商业模型是什么? 最持久的信号:这个免费扩展的开发者如何赚钱?如果没有明显的收入模型,用户数据很可能就是产品。作为付费SaaS产品一部分的扩展,拥有可验证的商业模型,其隐秘地变现用户数据的动机较小。
2026年1月事件揭示的AI安全
2026年1月的90万+受损用户并不是不成熟的。他们是寻求AI生产力工具的专业人士,想要保护其AI互动的隐私,并安装了看似合法的工具,从Chrome Web商店中获取。
攻击之所以成功,是因为:
扩展提供了真实的功能:它们并不是纯粹的恶意——它们提供了与AI相关的功能,同时进行窃取。这使得它们在随意使用时与合法工具在功能上无区别。
信任信号被制造:数十万用户创造了社会证明。看到60万次安装的用户更可能安装,而不是更少。
权限请求的设计不会引发担忧:"匿名、非可识别的分析"正是用户在未加审查的情况下批准的那种权限语言。
窃取的调度旨在最小化检测:30分钟的间隔足够频繁以捕获所有对话,但又不够频繁以避免触发基于异常的安全监控。
事件后的信任框架
在2026年1月事件之后,评估AI隐私扩展以部署给其员工的企业IT团队应应用比之前更严格的信任框架。
最低要求的元素:
- 本地处理架构——经过技术审查或独立审计验证,而不仅仅是在营销中声称
- 发布者身份验证——有可验证商业模型和历史的公司
- 独立安全认证——ISO 27001或同等认证
- 隐私政策具体说明扩展数据流——包括收集了什么,发送到哪里,以及在什么情况下
- 核心隐私功能不通过扩展开发者的服务器路由
向数百或数千名员工部署AI扩展的组织还应考虑:
- 定期审计已安装扩展的数据窃取行为
- 网络监控以检测浏览器进程中的意外外部连接
- 通过Chrome企业政策部署的批准扩展的白名单
2026年1月事件是一个警告。67%的数据收集率表明这个警告是有道理的。
anonym.legal的Chrome扩展在本地处理PII检测——在PII检测期间没有对话内容传输到anonym.legal的服务器。匿名化发生在浏览器中,然后修改后的提示提交给AI服务。由anonym.legal发布,ISO 27001认证。
来源: