浏览器扩展程序：无人监管的人工智能消费渠道

人工智能威胁面就隐藏在众目睽睽之下

过去两年，企业安全团队一直在争分夺秒地限制组织内部生成式人工智能（GenAI）的使用。他们针对 ChatGPT 制定了安全策略，限制了对影子人工智能工具的访问，并部署了针对未经授权的 GenAI 平台的监控解决方案。但根据浏览器安全公司 LayerX 发布的一份最新报告，几乎所有组织的 AI 安全态势都存在巨大漏洞——而这个漏洞就存在于浏览器本身。

人工智能浏览器扩展程序已悄然成为人工智能增长最快的消费渠道之一，但安全界几乎没有人以应有的紧迫感来对待它们。

LayerX报告揭示了什么

LayerX 的研究描绘了一幅令人警醒的景象。该公司分析了如今集成人工智能功能的庞大浏览器扩展程序生态系统——涵盖了从写作助手、摘要工具到代码辅助工具和邮件草稿工具等各种应用。他们的发现是，这些扩展程序通常拥有极其广泛的权限，能够访问员工每天在浏览器中传输的敏感数据。

主要研究结果包括：

• 权限过高已成为常态：许多人工智能扩展程序会请求访问浏览历史记录、页面内容、cookie，甚至剪贴板数据——远远超出其宣称的功能所需。
• 可见性几乎不存在：传统的终端安全工具和 CASB 解决方案很少检查或清点浏览器扩展程序，这给安全运营团队造成了真正的盲点。
• 采用情况是由员工驱动的：与获得授权的 SaaS 工具不同，大多数 AI 扩展程序都是由个人用户安装的，没有任何 IT 审查或批准流程。
• 数据泄露风险是真实存在的：能够访问页面内容的扩展程序可以悄无声息地读取敏感的企业信息（电子邮件、内部文档、财务数据）并将其传输到外部服务器。

简而言之，每个拥有广泛权限的AI浏览器扩展程序实际上都是一条微型数据管道，将数据从您的企业环境传输到未知的第三方。要深入了解企业如何管理这些风险，请阅读我们关于KiloClaw打击影子AI：驯服未经授权的AI风险的报道。

为什么这件事比大多数人意识到的更重要

这种消费渠道之所以一直未被广泛关注，部分原因在于其结构性问题。浏览器扩展程序处于终端软件和Web应用程序之间一个尴尬的中间地带。它们并非终端检测与响应（EDR）工具通常会标记的可执行文件，也不是云访问安全代理监控的云服务。它们处于监管的灰色地带。

而且问题的规模正在迅速扩大。仅Chrome网上应用商店就拥有数十万个扩展程序，而自2023年初以来，人工智能驱动的扩展程序数量更是呈爆炸式增长。这些工具大多由小型开发者或不知名的实体开发，没有公开的安全实践、SOC 2认证，也没有数据处理协议。

试想一下，当一位市场分析师为了加快研究速度而安装人工智能摘要扩展程序时会发生什么。该扩展程序可能需要读取每个网页的全部内容——包括内部仪表盘、浏览器标签页中查看的客户关系管理 (CRM) 记录，或通过 Google 文档共享的机密战略文件。这些数据甚至无需以明显的恶意方式离开浏览器；它可以被打包到“使用情况分析”或“模型改进”遥测数据中，然后悄无声息地发送出去。

更广泛的背景：人工智能不断扩大的攻击面

这一发现与网络安全专家自生成式人工智能爆发以来一直警告的更广泛趋势相吻合。正如《连线》杂志和其他主流媒体所记录的那样，每一个新的人工智能集成点都会带来潜在的安全漏洞。从针对大型语言模型的快速注入攻击到训练管道中的数据投毒，威胁形势每季度都在变得更加复杂。

浏览器扩展程序构成了一种独特的危险媒介，因为它们兼具安全团队最担忧的三个特征：高权限、低可见性和用户驱动型部署。这三点使得仅靠传统工具几乎无法对其进行有效管控。

行业分析师将当前的情况与SaaS快速扩张的早期阶段相提并论，当时员工采用云工具的速度远超IT部门的跟踪能力。如今的不同之处在于，人工智能扩展程序不仅将数据存储在外部，还会主动处理数据，并有可能从中学习。这对知识产权保护和监管合规的影响是巨大的，尤其对于那些受GDPR、HIPAA或金融服务法规约束的组织而言更是如此。

安全领导者现在应该做什么

好消息是，这个问题虽然严重，但并非无法解决。行动迅速的组织可以在重大安全漏洞迫使其采取行动之前先发制人。以下是一个实用的初步框架：

1. 立即审核您的扩展程序环境。使用浏览器管理工具（例如 Chrome 企业版、Edge 管理策略）清点员工安装的所有扩展程序。确定哪些扩展程序包含 AI 功能以及它们拥有哪些权限。
2. 实施白名单策略。从任何人都可以安装任何扩展的开放模式转变为只允许经过审核的扩展的精选模式。这是你能采取的最有效的措施。
3. 按风险对扩展程序进行分类。并非所有人工智能扩展程序都具有相同的危险性。仅修改网页外观的扩展程序与读取所有网页内容的扩展程序截然不同。根据权限范围确定审核优先级。
4. 对员工进行培训。大多数员工安装这些工具是为了提高工作效率，而不是为了制造风险。要围绕保护公司和员工的个人数据展开讨论。
5. 监控异常数据流。部署网络级监控，以检测可能表明存在基于扩展的数据泄露的异常出站流量模式。

有关保护您的数字边界的更多策略，请查看我们关于欧盟 2026 年人工智能法案下智能体人工智能治理挑战的建议。

接下来会发生什么？

预计未来几个月，这一领域的讨论将显著加速。随着越来越多的组织意识到人工智能扩展程序在其环境中的应用程度，供应商对浏览器级安全控制的投入也将大幅增加。LayerX 已将自身定位于此领域，但预计竞争对手会迅速跟进。

监管机构也可能对此予以关注。欧盟的《人工智能法案》已经为人工智能系统建立了基于风险的框架，基于浏览器的人工智能工具受到审查只是时间问题。在美国，像网络安全和基础设施安全局（CISA）这样的机构越来越关注软件供应链风险——而扩展程序本质上就是一个供应链问题。

更深层次的问题在于文化层面。网络安全界一直过于关注大型语言模型和企业级人工智能平台等引人注目的风险，却忽略了一种更为隐蔽、或许更为直接的威胁正在悄然滋长。人工智能浏览器扩展程序提供了一种便捷的使用渠道，它兼具易用性、强大的功能和极少的监管——而这正是攻击者最乐于利用的弱点。

底线

如果贵公司的AI安全策略中没有针对浏览器扩展程序的具体方案，那么就存在安全漏洞——毋庸置疑。这些工具已经安装在员工的电脑上，正在读取敏感数据，并将信息传输到您尚未评估的服务器。解决这一安全盲点的时机不是下个季度或下一个预算周期，而是现在。

如今将人工智能扩展治理作为优先事项的企业，才能避免未来遭受惨痛的数据泄露。其他企业则将付出惨痛的代价才能吸取教训。