Det meste av bedriftsarbeidet skjer nå i nettleseren. Ansatte starter SaaS-apper, aktiverer GenAI-verktøy, limer inn ledetekster, installerer utvidelser og autentiserer identiteter – alt skjer i nettleseren. Likevel, til tross for at den er sentral i moderne produktivitet, forblir nettleseren i stor grad utenfor synligheten til tradisjonelle sikkerhetsstabler som DLP, EDR og SSE.
Det er i denne blindsonen at datalekkasje, tyveri av legitimasjon og risikoer drevet av kunstig intelligens møtes, og at mange av dagens mest sofistikerte sikkerhetsbrudd begynner. Rapport om nettlesersikkerhet 2025 undersøker dette skiftet gjennom både kvantitativ telemetri og sikkerhetshendelser i den virkelige verden, og avslører hvordan moderne angrep nå utnytter nettleserøkter, utvidelser, identiteter og GenAI-interaksjoner som eldre verktøy aldri ble bygget for å beskytte.
AI har blitt den raskest voksende og minst styrte datakanalen
Nesten halvparten av alle ansatte bruker nå generative AI-verktøy, og ChatGPT står for 92 % av all aktivitet. 77 % av brukerne limer inn data i ledetekster, 82 % bruker personlige kontoer, og 40 % av opplastede filer inneholder PII/PCI. Med GenAI som nå står for 32 % av all bevegelse av bedriftsdata til personlige data, har det blitt den ledende eksfiltreringskanalen i nettleseren.
Dette er ikke bare enda en SaaS-kategori; det er det raskest voksende forretningsverktøyet og det som er minst styrt med god margin. Tradisjonell styring bygget for e-post, fildeling og sanksjonert SaaS forutså ikke at kopiering/liming inn i en nettleserledetekst ville bli den dominerende lekkasjevektoren.
Fremveksten av AI-nettlesere: Den neste usynlige risikoflaten
En ny bølge av AI-nettlesere som Perplexity, Arc Search, Brave AI, OpenAI Atlas og Edge Copilot endrer måten ansatte jobber på nett. Disse verktøyene åpner ikke bare sider; de leser, oppsummerer og resonnerer over dem, og blander nettlesing og spørrefunksjoner i én opplevelse.
Men denne intelligensen kommer med risiko. AI-nettlesere får tilgang til sensitivt bedriftsinnhold gjennom øktdata, informasjonskapsler og SaaS-faner for å tilpasse resultater. Hver fane, kopiering/liming og pålogging kan stille mate eksterne AI-modeller og skape det vi kaller en «usynlig AI-endepunkt».
I motsetning til tradisjonelle nettlesere opererer disse AI-drevne nettleserne utenfor bedriftens synlighet og DLP-kontroller, og gjør øktminne, automatiske spørringer og deling av informasjonskapsler om til nye eksfiltreringsbaner. Og fordi ansatte tar dem i bruk sammen med Chrome eller Edge, ser de fleste sikkerhetsverktøy dem aldri.
For sikkerhetsledere, Styring av nettlesere med kunstig intelligens er nå like kritisk som kontroll av apper med kunstig intelligens. Bedrifter må utvide nettleserbasert synlighet og DLP til disse AI-drevne miljøene der data, identitet og automatisering smelter sammen i stillhet.
Nettleserutvidelser er bedriftens største usynlige forsyningskjederisiko
Hvis du tror at nettleserutvidelser bare er uskyldige tillegg, bør du tro om igjen. 99 % av bedriftsbrukere har minst én utvidelse installert, og mer enn halvparten har høye eller kritiske tillatelser. Likevel bruker 54 % av utgiverne gratis Gmail-kontoer, og 26 % av utvidelsene er sidelastet.
I praksis har nettleserens utvidelsesøkosystem blitt en uadministrert programvareforsyningskjede innebygd i hver bruker. Nylige hendelser som Cyberhaven-utvidelseskompromitteringen viser hvordan én enkelt ondsinnet oppdatering kan eksponere hele organisasjoner. Disse utvidelsene opererer med tilgang til informasjonskapsler, økttokener og faner på nært systemnivå, slik at angripere stille kan omgå tradisjonelle perimeterkontroller. Resultatet: en programvareforsyningskjede skjult for åpent syn, innebygd direkte i nettleseren. Dette er ikke bare et synlighetsgap; det er en fullverdig blindsone.
Identitetskontroll stopper ved IdP-en, men risikoen begynner i nettleseren
Identitetslaget blir ofte sett på som herdet med SSO, MFA og identitetsføderasjoner. Men mesteparten av denne beskyttelsen berører aldri det som skjer inne i nettleseren. Over to tredjedeler av bedriftsinnloggingshendelser skjer uten SSO. 43 % av SaaS-tilgang gjøres via personlig pålogging. 8 % av bedriftsbrukere har utvidelser som får tilgang til identiteter eller informasjonskapsler.
Nylige profilerte brudd som Scattered Spider-kampanjen fremhever hvordan identitetskompromittering ikke lenger avhenger av stjålne passord, men trives med stjålne økter. Angripere utnyttet nettleserlagrede tokener og informasjonskapsler for å utgi seg for å være brukere, bevege seg sidelengs på tvers av SaaS-apper og omgå MFA fullstendig. Angrepet avslørte at moderne identitetsrisiko ikke er ved påloggingsledeteksten; den er inne i aktive nettleserøkter, der informasjonskapsler, påloggingsinformasjon og hurtigbufrede tokener sirkulerer ubeskyttet. Selv de mest modne IAM-oppsettene var maktesløse fordi tradisjonelle verktøy ikke kunne se hva som skjedde inne i nettleseren.
Enkelt sagt: identitetsstyring slutter ved API-et, men risikoen fortsetter i nettleserøkten. Økttokener, informasjonskapsler, uadministrerte legitimasjonsopplysninger og skyggekontoer samles alle i nettleseren der tradisjonelle IAM-verktøy ikke har noen synlighet.
Filopplastinger pleide å være det svake leddet, men nå er det kopier/lim inn
I årevis har filbasert DLP fokusert på vedlegg, opplastinger og delte disker. 38 % laster opp filer til fildelingsplattformer; 41 % av filene som lastes opp dit inneholder PII/PCI. Men opplastinger er ikke lenger den dominerende risikoen, det er «utklippstavlen».
De fleste sensitive dataene forlater bedriften via kopiering/liming inn i uadministrerte nettleserkontoer, ledetekster, chat og direktemeldingsverktøy. Nå limer 77 % av de ansatte inn data i GenAI-verktøy. Fillagring, som står for 46 %, er den nest største limekanalen, etterfulgt av chat/direktemelding og CRM, som ligger på omtrent 15 %. Selv om de har et lavere totalt volum, medfører liming inn i forretningskritiske apper store risikoer på grunn av dataenes natur. Disse filløse, databevisste bevegelsene omgår vanligvis alle filsentriske DLP-kontroller som er på plass i dag, og er en årsak til de største datalekkasjene som skjer i verden.
Den nylige Rippling-Deel-skandalen understreker hvordan uovervåkede SaaS- og nettleserbaserte meldingsapper har blitt stille eksfiltreringsvektorer. Konfidensiell klientinformasjon og sensitive interne diskusjoner ble eksponert gjennom direktemeldingsapper. Denne hendelsen knuste illusjonen om at samarbeidsapper for bedrifter er «sikre som standard». En enkelt usanksjonert plugin-modul eller chat-AI kan stille eksfiltrere tusenvis av interne meldinger med en enkel kopierings-/lime-handling.
Nettleseren er ikke bare et verktøy på arbeidsplassen; den er bedriftens største ubeskyttede endepunkt
Nettleseren berører nå hver identitet, hver SaaS-app, hver eneste del av bedriftsdata. Den spenner over administrerte og uadministrerte enheter, godkjente og ugodkjente apper, personlige og bedriftskontoer. Men til tross for alt dette, forblir nettleseren utenfor synligheten til DLP-, EDR-, SSE- og CASB-plattformer.
Og etter hvert som grensen mellom datatilgang og datalekkasje forsvinner inne i nettleseren, har omkretsen som en gang ble definert av enheter og nettverk flyttet seg til nettleserens fanefelt.
Hva du skal gjøre nå: Din nettleserbaserte sikkerhetsveikart
Sikkerhetsledere må nå endre tankegangen sin fra enheter, nettverk og filer til å behandle nettleseren som frontlinjen for identitets-, data- og AI-risiko. Slik gjør du det:
- Behandle nettleseren som et primært kontrollplan, ikke et brukergrensesnitt
Hvis risikoen oppstår i økten, må kontrollene være i økten. Det betyr sanntids, nettleserbasert innsyn i opplastinger, kopiering/liming, forespørsler og kontokontekst (personlig vs. bedrift). Utvid kontrollene til uadministrerte nettlesere og AI-sentriske nettlesere som automatisk oppsummerer, automatisk spør og sender øktkontekst i stillhet til skymodeller. - Bytt identitetsbeskyttelse fra autentisering og glem til beskyttelse av økten
Håndhev SSO/MFA der det er mulig, men anta avvik. Valider aktive økter kontinuerlig, se etter token-replay og oppdag kontoovergang. «Identitet ferdig» hos IdP-en er en beroligende myte; det er nettleseren der identitetsrisikoen oppstår. - Operasjonaliser utvidelsesstyring som en forsyningskjedeprogramvare
Tillatelsesrevisjon alene er ikke tilstrekkelig. Vurder kontinuerlig utviklerens omdømme, oppdateringskadens, sidelastingskilder og AI/agentfunksjoner. Spor endringer slik du sporer tredjepartsbiblioteker. - Blokker datatap ved interaksjonspunktet
Filer er viktige, men inndata er enda viktigere. Implementer nettleserbasert DLP som overvåker kopiering/liming, dra/slipp, prompt-inndata og filer. Utvid kontrollene til uadministrerte brukere og klassifiser data i bevegelse (PII/PCI) for å blokkere risikable handlinger for å tømme sensitive data før de forlater fanen. - Styrk brukerne, ikke lamme dem
Ikke bare «blokker alt brukere måtte ønske å gjøre». Tilby trygge, godkjente AI- og SaaS-alternativer med tydelige rekkverk, opplær ansatte og bygg retningslinjene rundt dataatferd, ikke selve appen.
Bunnlinjen
Bedrifter har brukt årevis på å bygge styring rundt e-post, fildeling og identitetsføderasjoner. Samtidig har den mest nettlesersentriske delen av arbeidsflyter: utvidelser, GenAI-ledetekster, identiteter og SaaS-økter blitt fullstendig ukontrollert.
Det overraskende paradokset: jo raskere nettleseren blir uunnværlig for produktivitet, desto mindre tilsyn har den.
Sikkerhetsledere står nå overfor en enkel virkelighet: Hvis du ikke kan se hva brukerne gjør i nettleseren sin, er du ikke bare bakpå, men du er usynlig for din største risikoflate. Nettleseren er ikke lenger valgfri; den er kontrollplanet for enhver bedriftsarbeidsflyt. Og inntil du behandler den på den måten, vil dataflyten forsvinne, og du vil først finne det ut etter at den er borte.
Last ned hele rapporten for å avdekke hele omfanget av de største sikkerhetsrisikoene for nettlesere i 2025
