2026年1月事件
在2026年1月发现的两个Chrome扩展——"带有GPT-5的Chat GPT for Chrome,Claude Sonnet和DeepSeek AI"(600,000+用户)和"带有Deepseek、ChatGPT、Claude等的AI侧边栏"(300,000+用户)——被发现每30分钟将完整的AI对话历史传输到远程指挥控制服务器。
这些扩展自我宣传为隐私和AI增强工具。它们在Chrome网上商店的描述中强调用户数据保护和隐私优先设计。它们的实际行为——通过Astrix Security的分析确认——是捕获来自ChatGPT、DeepSeek和其他AI平台的完整对话历史,然后将其传输到攻击者控制的服务器。被捕获的对话包括源代码、个人可识别信息、法律策略讨论、商业计划和财务数据。
这些扩展请求权限以"收集匿名、不可识别的分析数据"。它们实际上收集的是完全可识别的、高度敏感的数据,且精度极高。
安全反转问题
专门安装AI隐私扩展的用户表达了对保护其AI对话的工具的偏好。2026年1月事件记录了这一偏好的最坏结果:为隐私目的安装的工具本身就是数据窃取机制。
这不仅仅是一个需要权衡的风险——这是一个影响90万用户的记录结果。Chrome网上商店的自动扫描未能检测到恶意行为,因为扩展的数据收集伪装成分析。用户评论没有揭示问题,因为用户无法看到网络流量。
Incogni的研究发现,67%的AI Chrome扩展积极收集用户数据——这个数字包括已披露的分析收集和未披露的窃取。对于部署AI隐私扩展的企业IT团队来说,重要的问题不是"这个扩展是否收集任何数据?"而是"我能否验证这个扩展的数据流在架构上无法窃取对话内容?"
架构验证测试
值得信赖的本地处理的验证测试是技术性的,而非声明性的:扩展声称的本地处理是否可以通过网络监控独立验证?
一个在本地处理个人可识别信息检测的扩展——使用TensorFlow.js、WASM或本地二进制文件在客户端运行检测模型——在个人可识别信息检测阶段不会产生任何出站网络流量。用户工作站上的网络监控应该显示在用户粘贴事件和提交到AI平台之间没有与任何外部服务器的连接。唯一的出站流量应该是发送到AI提供商的匿名提示。
一个通过代理服务器路由流量的扩展——即使该代理被描述为"隐私保护中继"——也会将用户内容发送到第三方服务器。代理运营商的安全性现在是用户威胁模型的一部分。
对于将浏览器扩展添加到企业批准列表的企业IT团队,验证协议是:在受监控的网络环境中部署扩展,生成代表性的测试流量,并验证在个人可识别信息处理期间没有与扩展发布者的服务器发生出站连接。无法通过此测试的扩展不应被批准用于企业部署,无论其声明的隐私承诺如何。
本地处理架构——所有检测在客户端运行,没有服务器端组件用于匿名化步骤——是使扩展隐私声明可以独立验证的架构特性,而不是依赖于发布者的声明。
来源: