Proširenja preglednika pokretana umjetnom inteligencijom poboljšavaju pregledavanje weba korištenjem umjetne inteligencije za automatizaciju zadataka, analizu sadržaja i pružanje inteligentnih preporuka. Za razliku od običnih proširenja, koja se oslanjaju na unaprijed definirana pravila ili osnovne skripte, proširenja s umjetnom inteligencijom mogu se prilagoditi i poboljšati tijekom vremena pomoću ML modela. To ih čini još vrijednijima za poduzeća.

Izvješće o sigurnosti proširenja preglednika za poduzeća 2025

Izvješće o sigurnosti proširenja preglednika za poduzeća 2025

Saznajte više
Zaštita od zlonamjernih proširenja preglednika: Potpuni vodič

Zaštita od zlonamjernih proširenja preglednika: Potpuni vodič

Saznajte više

Međutim, to ih čini i većim sigurnosnim rizikom. Ova proširenja često zahtijevaju opsežna dopuštenja, što potencijalno dovodi do neovlaštenog pristupa podacima ili curenja osjetljivih informacija. Mogu se iskoristiti kao vektori napada za ubacivanje zlonamjernog softvera, krađu vjerodajnica ili eksfiltraciju podataka. Dodatno, osiguravanje usklađenosti s propisima o zaštiti podataka (npr. GDPR, HIPAA) postaje izazov jer ovi alati mogu eksterno obrađivati ​​i pohranjivati ​​korisničke podatke.

U ovom postu na blogu otkrivamo sigurnosne rizike poduzeća proširenja preglednika AI i predlažemo kako prevladati ranjivosti proširenja koje pokreće AI.

Ključni sigurnosni rizici AI proširenja preglednika

Kako proširenja preglednika pokretana umjetnom inteligencijom postaju integrirana u tijekove rada poduzeća, predstavljaju rastuću površinu za napade kibernetičkih prijetnji. Iako ovi alati mogu povećati produktivnost i automatizaciju, oni također predstavljaju značajne sigurnosne rizike. U nastavku je pregled ključnih ranjivosti i rizika proširenja AI kojih bi poduzeća trebala biti svjesna:

  • Pretjerana dopuštenja i pristup podacima – Mnoga proširenja preglednika AI zahtijevaju široka dopuštenja za pristup podacima preglednika, uključujući čitanje i izmjenu web sadržaja, pristup podacima preglednika i interakciju s API-jima. Ta se dopuštenja mogu iskoristiti za izdvajanje osjetljivih poslovnih informacija poput vjerodajnica, tokena i poslovnih podataka ili koristiti za napade poput otmice sesije.

U slučaju AI proširenja, to je još više zabrinjavajuće jer napadači mogu uvježbati ta proširenja da automatski traže i analiziraju osjetljive podatke.

  • Nešifrirani prijenos podataka – Ekstenzije preglednika koje pokreće AI mogu prenositi korisničke upite i odgovore, koji mogu uključivati ​​osjetljive podatke, preko nezaštićenih ili nešifriranih kanala. To potencijalno izlaže osjetljive poslovne podatke presretanju, otmici sesije ili curenju podataka ili eksfiltraciji vjerodajnica putem napada kao što je Man-in-the-Middle (MitM). 
  • Zlonamjerna manipulacija AI modelom – Napadači mogu manipulirati AI modelima ubacivanjem zlonamjernih uputa u upite ili trovanjem podataka o obuci, što dovodi do pristranih ili štetnih rezultata. To bi također moglo rezultirati zatrovana proširenja koja ubacuju zlonamjerne podatke u preglednik kao način za infiltraciju u mreže ili za eksfiltraciju osjetljivih podataka iz preglednika prema van.
  • Rizici prikupljanja podataka treće strane – AI proširenja preglednika šalju korisničke unose vanjskim uslugama AI obrade u svrhu obuke, finog podešavanja i praćenja. Neka proširenja ne otkrivaju jasno gdje su podaci pohranjeni ili kako se koriste. To izaziva zabrinutost u vezi s privatnošću podataka, usklađenošću (npr. kršenje zakona o prebivalištu podataka ako se osjetljivi podaci šalju offshore poslužiteljima za obradu AI) i eksfiltracijom podataka.
  • Ranjivosti lanca opskrbe – Kao i svaki softver, mnoga proširenja koja pokreće AI ovise o vanjskim bibliotekama, API-jima i ažuriranjima trećih strana. Jedna ugrožena ovisnost može uvesti zlonamjerni kod u okruženja poduzeća. Na primjer, ako se ekstenzija automatski ažurira iz neprovjerenog izvora, može nesvjesno naslijediti ranjivosti ili zlonamjerni softver. Osim toga, zlonamjerni akter može nabaviti prethodno legitimno proširenje i koristiti ga za prikupljanje podataka.

Utjecaj ranjivosti proširenja AI preglednika na poduzeća

Loše osigurana AI proširenja mogu potkopati AI sigurnost poduzeća i izložiti organizacije poslovnim rizicima:

Izloženost intelektualnog vlasništva

Izlaganje internih informacija vanjskim poslužiteljima, bilo putem AI ekstenzija koje eksterno obrađuju podatke ili ako je mreža presretnuta, može dovesti do curenja podataka i krađe IP-a. Organizacija se može baviti pravnim, financijskim i poslovnim posljedicama izloženosti podataka: izloženi izvorni kod, financijski planovi, poslovne informacije itd.

Regulatorna neusklađenost

Mnoga AI proširenja preglednika prikupljaju i obrađuju korisničke podatke bez izričitog nadzora poduzeća. To se događa kada proširenja prenose ili pohranjuju PII ili osjetljive korporativne podatke bez odgovarajućih zaštitnih ograda ili kada se proširenje koristi za zlonamjernu eksfiltraciju takvih podataka. To može dovesti do nepoštivanja propisa kao što su GDPR, CCPA, HIPAA i PCI DSS, koji zahtijevaju od organizacija da zaštite i izbrišu osjetljive podatke.

Na primjer, ekstenzija za transkripciju sastanaka temeljena na umjetnoj inteligenciji može uhvatiti i obraditi razgovore klijenata, nesvjesno pohranjujući povjerljive poslovne rasprave na poslužitelje trećih strana. Ako se ne upravlja na odgovarajući način, to bi moglo dovesti do rizika usklađenosti kao što su kršenje propisa, zabrinutost zbog privatnosti podataka, visoke kazne i šteta za ugled.

Krađa vjerodajnica i neovlašteni pristup

Pristup proširenja umjetne inteligencije sesijama preglednika, pritiscima tipki i kolačićima može se koristiti za krađu vjerodajnica za prijavu i dobivanje neovlaštenog pristupa sustavima poduzeća. To bi se moglo koristiti za napade punjenjem vjerodajnica, preuzimanje računa ili bočno napredovanje u sustavu, što dovodi do raširenih napada.

Operativni sigurnosni rizici

Ekstenzije preglednika AI koje se koriste za eksfiltraciju podataka, infiltraciju u sustav ili ubacivanje zlonamjernih naredbi, mogu uvesti kršenja potaknuta umjetnom inteligencijom koja ometaju tijek rada, mijenjaju kritične podatke ili čak ugrožavaju cijele sustave. Na primjer, proširenje za automatsko dovršavanje koje pokreće AI s administrativnim povlasticama može greškom odobriti financijske transakcije, izmijeniti CRM zapise ili izvršiti zlonamjerne naredbe koje utječu na poslovne procese.

Kako LayerX osigurava AI proširenja preglednika

LayerX je sve-u-jednom sigurnosna platforma bez agenata (isporučuje se kao proširenje preglednika) koja štiti poduzeća od zlonamjernih proširenja preglednika, GenAI, Weba i DLP rizika i prijetnji bez utjecaja na korisničko iskustvo.

  • Automatizirano stvaranje inventara – LayerX pruža uvid u ekstenzije preglednika u stvarnom vremenu, eliminirajući ručno praćenje i naglašavajući ranjivosti i rizike.
  • Detaljno automatizirano ocjenjivanje rizika – LayerX dodjeljuje ocjene rizika na temelju dopuštenja, reputacije razvojnog programera, obrazaca aktivnosti, poznatih ranjivosti i drugih parametara, pomažući u određivanju prioriteta u naporima za sanaciju.
  • Provedba politike – LayerX omogućuje automatsko blokiranje ili upozoravanje prilikom otkrivanja visokorizičnih proširenja, osiguravajući da su samo odobreni alati dostupni.
  • Napredno praćenje ponašanja – LayerX otkriva sumnjivu aktivnost proširenja, kao što je neovlašteni pristup podacima, prekomjerna dopuštenja ili komunikacija s neprovjerenim izvorima.

Osigurajte svoju radnu snagu i smanjite rizik proširenja AI preglednika već danas.