ब्राउज़र एक्सटेंशन: एआई उपभोग का वह चैनल जिसकी कोई रखवाली नहीं करता

एआई का खतरा सबके सामने छिपा हुआ है

पिछले दो वर्षों में, एंटरप्राइज़ सुरक्षा टीमों ने अपने संगठनों में जनरेटिव एआई के उपयोग को रोकने के लिए अथक प्रयास किए हैं। उन्होंने चैटजीपीटी के लिए नीतियां बनाई हैं, शैडो एआई टूल्स तक पहुंच प्रतिबंधित की है और अनधिकृत जनरेटिव एआई प्लेटफॉर्म के लिए निगरानी समाधान तैनात किए हैं। लेकिन ब्राउज़र सुरक्षा फर्म लेयरएक्स की एक नई रिपोर्ट के अनुसार, लगभग हर संगठन की एआई सुरक्षा में एक बड़ा अंतर है - और यह अंतर ब्राउज़र के भीतर ही मौजूद है।

एआई-संचालित ब्राउज़र एक्सटेंशन चुपचाप कृत्रिम बुद्धिमत्ता के सबसे तेजी से बढ़ते उपभोग चैनलों में से एक बन गए हैं, और सुरक्षा समुदाय में लगभग कोई भी उन्हें वह गंभीरता नहीं दे रहा है जिसके वे हकदार हैं।

LayerX रिपोर्ट में क्या खुलासा हुआ

LayerX के शोध से एक गंभीर तस्वीर सामने आती है। कंपनी ने ब्राउज़र एक्सटेंशन के उस विशाल नेटवर्क का विश्लेषण किया है जिनमें अब AI क्षमताएं शामिल हैं — लेखन सहायकों और सारांश उपकरणों से लेकर कोडिंग सहायकों और ईमेल ड्राफ्टरों तक। उन्होंने पाया कि ये एक्सटेंशन अक्सर असाधारण रूप से व्यापक अनुमतियों के साथ काम करते हैं, जिससे उन्हें कर्मचारियों के ब्राउज़रों से प्रतिदिन गुजरने वाले संवेदनशील डेटा तक पहुंच प्राप्त हो जाती है।

मुख्य निष्कर्षों में निम्नलिखित शामिल हैं:

• अत्यधिक अनुमतियाँ प्राप्त करना आम बात है: कई एआई एक्सटेंशन ब्राउज़िंग इतिहास, पृष्ठ सामग्री, कुकीज़ और यहां तक कि क्लिपबोर्ड डेटा तक पहुंच का अनुरोध करते हैं - जो उनकी घोषित कार्यक्षमता की आवश्यकता से कहीं अधिक है।
• दृश्यता लगभग न के बराबर है: पारंपरिक एंडपॉइंट सुरक्षा उपकरण और सीएएसबी समाधान शायद ही कभी ब्राउज़र एक्सटेंशन का निरीक्षण या सूची बनाते हैं, जिससे सुरक्षा संचालन टीमों के लिए एक वास्तविक अंधापन पैदा होता है।
• इसका उपयोग कर्मचारियों द्वारा संचालित होता है: स्वीकृत SaaS टूल के विपरीत, अधिकांश AI एक्सटेंशन व्यक्तिगत उपयोगकर्ताओं द्वारा बिना किसी IT समीक्षा या अनुमोदन प्रक्रिया के स्थापित किए जाते हैं।
• डेटा लीक होने का खतरा वास्तविक है: पेज की सामग्री तक पहुंच रखने वाले एक्सटेंशन संवेदनशील कॉर्पोरेट जानकारी - ईमेल, आंतरिक दस्तावेज, वित्तीय डेटा - को चुपचाप पढ़ सकते हैं और बाहरी सर्वरों पर भेज सकते हैं।

संक्षेप में, व्यापक अनुमतियों वाला प्रत्येक एआई ब्राउज़र एक्सटेंशन प्रभावी रूप से एक लघु डेटा पाइपलाइन है जो आपके कॉर्पोरेट वातावरण से किसी अज्ञात तृतीय पक्ष तक चलती है। संगठनों द्वारा इन जोखिमों के प्रबंधन के तरीकों को गहराई से समझने के लिए, किलोक्लॉ द्वारा लक्षित शैडो एआई: अनधिकृत एआई जोखिमों से निपटना नामक हमारे लेख को पढ़ें।

यह बात अधिकांश लोगों की सोच से कहीं अधिक महत्वपूर्ण क्यों है?

इस विशेष उपभोग चैनल के अनदेखे रहने का कारण आंशिक रूप से संरचनात्मक है। ब्राउज़र एक्सटेंशन एंडपॉइंट सॉफ़्टवेयर और वेब एप्लिकेशन के बीच एक अजीब स्थिति में हैं। ये ऐसी निष्पादन योग्य फ़ाइलें नहीं हैं जिन्हें एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (EDR) टूल आमतौर पर चिह्नित करते हैं। ये क्लाउड सेवाएं भी नहीं हैं जिनकी निगरानी क्लाउड एक्सेस सुरक्षा ब्रोकर करते हैं। ये एक ऐसे क्षेत्र में मौजूद हैं जहां कोई निश्चित नियम नहीं है।

और इस समस्या का दायरा तेजी से बढ़ रहा है। अकेले क्रोम वेब स्टोर पर ही लाखों एक्सटेंशन मौजूद हैं, और एआई-आधारित एक्सटेंशन की संख्या 2023 की शुरुआत से ही तेजी से बढ़ी है। इनमें से कई टूल छोटे डेवलपर्स या अज्ञात संस्थाओं द्वारा बनाए गए हैं, जिनके पास कोई प्रकाशित सुरक्षा प्रक्रियाएँ, एसओसी 2 प्रमाणन और डेटा प्रोसेसिंग समझौते नहीं हैं।

ज़रा सोचिए, जब कोई मार्केटिंग विश्लेषक रिसर्च में तेज़ी लाने के लिए AI समराइज़ेशन एक्सटेंशन इंस्टॉल करता है, तो क्या होता है। उस एक्सटेंशन को हर वेबपेज की पूरी सामग्री पढ़ने की ज़रूरत पड़ सकती है—जिसमें आंतरिक डैशबोर्ड, ब्राउज़र टैब में देखे गए CRM रिकॉर्ड या Google Docs के ज़रिए शेयर किए गए गोपनीय रणनीति दस्तावेज़ शामिल हैं। डेटा को किसी दुर्भावनापूर्ण तरीके से ब्राउज़र से बाहर भेजने की भी ज़रूरत नहीं है; इसे "उपयोग विश्लेषण" या "मॉडल सुधार" टेलीमेट्री में शामिल करके चुपचाप भेजा जा सकता है।

व्यापक संदर्भ: कृत्रिम बुद्धिमत्ता की बढ़ती आक्रमण क्षमता

यह खुलासा उस व्यापक प्रवृत्ति में फिट बैठता है जिसके बारे में साइबर सुरक्षा पेशेवर जनरेटिव एआई के विस्फोट की शुरुआत से ही चेतावनी देते आ रहे हैं। जैसा कि वायर्ड और अन्य प्रमुख प्रकाशनों ने बताया है, एआई का हर नया एकीकरण बिंदु एक संभावित भेद्यता पैदा करता है। बड़े भाषा मॉडलों पर त्वरित इंजेक्शन हमलों से लेकर प्रशिक्षण पाइपलाइनों में डेटा विषाक्तता तक, खतरे का परिदृश्य हर तिमाही के साथ और अधिक जटिल होता जा रहा है।

ब्राउज़र एक्सटेंशन एक विशेष रूप से खतरनाक कारक हैं क्योंकि इनमें तीन ऐसी विशेषताएं होती हैं जिनसे सुरक्षा टीमें बेहद चिंतित रहती हैं: उच्च विशेषाधिकार, कम दृश्यता और उपयोगकर्ता-प्रेरित उपयोग। इन तीनों विशेषताओं के कारण इन्हें पारंपरिक उपकरणों से नियंत्रित करना लगभग असंभव हो जाता है।

उद्योग विश्लेषकों ने इसकी तुलना SaaS के शुरुआती दौर से की है, जब कर्मचारी क्लाउड टूल्स को इतनी तेज़ी से अपना रहे थे कि आईटी टीम उन्हें ट्रैक नहीं कर पा रही थी। अब अंतर यह है कि AI एक्सटेंशन केवल डेटा को बाहरी रूप से स्टोर नहीं करते, बल्कि सक्रिय रूप से उसे प्रोसेस करते हैं और संभवतः उससे सीखते भी हैं। बौद्धिक संपदा संरक्षण और नियामक अनुपालन के लिए इसके परिणाम बेहद महत्वपूर्ण हैं, विशेष रूप से उन संगठनों के लिए जो GDPR, HIPAA या वित्तीय सेवा नियमों के अधीन हैं।

सुरक्षा नेताओं को अभी क्या करना चाहिए

अच्छी खबर यह है कि यह समस्या गंभीर होते हुए भी हल की जा सकती है। जो संगठन तेजी से कदम उठाते हैं, वे किसी बड़े उल्लंघन से पहले ही इस पर काबू पा सकते हैं। यहाँ एक व्यावहारिक प्रारंभिक रूपरेखा दी गई है:

1. अपने ब्राउज़र में इंस्टॉल किए गए सभी एक्सटेंशन की तुरंत जांच करें। ब्राउज़र प्रबंधन टूल (क्रोम एंटरप्राइज, एज प्रबंधन नीतियां) का उपयोग करके अपने कर्मचारियों के बीच इंस्टॉल किए गए सभी एक्सटेंशन की सूची बनाएं। पता लगाएं कि किन एक्सटेंशन में एआई क्षमताएं हैं और उन्हें क्या-क्या अनुमतियां प्राप्त हैं।
2. एक अनुमति-सूची नीति लागू करें। एक ऐसे खुले मॉडल से हटकर, जहाँ कोई भी कुछ भी इंस्टॉल कर सकता है, एक ऐसे क्यूरेटेड मॉडल की ओर बढ़ें जहाँ केवल जाँचे-परखे एक्सटेंशन ही अनुमत हों। यह सबसे प्रभावशाली कदम है जो आप उठा सकते हैं।
3. जोखिम के आधार पर एक्सटेंशन को वर्गीकृत करें। सभी एआई एक्सटेंशन समान रूप से खतरनाक नहीं होते। एक एक्सटेंशन जो केवल वेबपेज की दिखावट को बदलता है, वह उस एक्सटेंशन से बहुत अलग होता है जो पेज की पूरी सामग्री को पढ़ता है। अनुमति के दायरे के आधार पर समीक्षा को प्राथमिकता दें।
4. अपने कर्मचारियों को शिक्षित करें। अधिकांश कर्मचारी इन उपकरणों को अधिक उत्पादक बनने के लिए स्थापित करते हैं, न कि जोखिम पैदा करने के लिए। बातचीत को कंपनी और कर्मचारी दोनों के डेटा की सुरक्षा के इर्द-गिर्द केंद्रित करें।
5. असामान्य डेटा प्रवाह पर नज़र रखें। नेटवर्क स्तर पर निगरानी रखें ताकि असामान्य आउटबाउंड ट्रैफ़िक पैटर्न का पता लगाया जा सके जो एक्सटेंशन-आधारित डेटा चोरी का संकेत दे सकता है।

अपनी डिजिटल परिधि को सुरक्षित करने के लिए अतिरिक्त रणनीतियों के लिए, यूरोपीय संघ के एआई अधिनियम 2026 के तहत एजेंटिक एआई गवर्नेंस चुनौतियों पर हमारी सिफारिशें देखें।

आगे क्या आता है

आने वाले महीनों में इस चर्चा में ज़बरदस्त तेज़ी आने की उम्मीद है। जैसे-जैसे ज़्यादा से ज़्यादा संगठन अपने परिवेश में AI एक्सटेंशन के उपयोग की व्यापकता को समझेंगे, ब्राउज़र-स्तरीय सुरक्षा नियंत्रणों में विक्रेताओं का निवेश बढ़ेगा। LayerX इस क्षेत्र में अपनी मज़बूत पकड़ बना रहा है, लेकिन उम्मीद है कि इसके प्रतिस्पर्धी भी जल्द ही इसका अनुसरण करेंगे।

नियामक निकाय भी इस पर ध्यान दे सकते हैं। यूरोपीय संघ के एआई अधिनियम में पहले से ही एआई प्रणालियों के लिए जोखिम-आधारित ढाँचे स्थापित हैं, और ब्राउज़र-आधारित एआई उपकरणों की जाँच-पड़ताल शुरू होने में बस कुछ ही समय बाकी है। संयुक्त राज्य अमेरिका में, सीआईएसए जैसी एजेंसियां सॉफ्टवेयर आपूर्ति श्रृंखला जोखिमों पर तेजी से ध्यान केंद्रित कर रही हैं - और एक्सटेंशन मूल रूप से एक आपूर्ति श्रृंखला समस्या है।

असल मुद्दा सांस्कृतिक है। साइबर सुरक्षा समुदाय बड़े भाषा मॉडल और एंटरप्राइज़ एआई प्लेटफॉर्म के सनसनीखेज जोखिमों पर इतना केंद्रित रहा है कि एक शांत, और शायद कहीं अधिक तात्कालिक खतरा बेरोकटोक बढ़ता जा रहा है। एआई ब्राउज़र एक्सटेंशन एक ऐसा उपभोग चैनल है जो सुगम पहुंच, शक्तिशाली क्षमताओं और न्यूनतम निगरानी को जोड़ता है - ठीक वैसा ही संयोजन जिसका दुश्मन फायदा उठाना पसंद करते हैं।

तल - रेखा

यदि आपके संगठन की एआई सुरक्षा रणनीति में ब्राउज़र एक्सटेंशन के लिए कोई विशिष्ट योजना शामिल नहीं है, तो यह एक बड़ी खामी है। ये उपकरण पहले से ही आपके कर्मचारियों के कंप्यूटरों पर स्थापित हैं, संवेदनशील डेटा पढ़ रहे हैं और उन सर्वरों को जानकारी भेज रहे हैं जिनका आपने मूल्यांकन नहीं किया है। इस खामी को दूर करने का समय अगली तिमाही या अगले बजट चक्र में नहीं है। यह अभी है।

जो उद्यम आज एआई एक्सटेंशन गवर्नेंस को प्राथमिकता देते हैं, वे ही भविष्य में डेटा लीक जैसी गंभीर समस्याओं से बच पाएंगे। बाकी सभी को यह सबक कठिन तरीके से सीखना पड़ेगा।