Security

Kwaadaardige AI-browserextensies stelen LLM-chatdata

3 min leestijd

Samenvatting

Microsoft Defender waarschuwt voor kwaadaardige AI-browserextensies die zich voordoen als legitieme tools, maar intussen chatinhoud van LLM’s zoals ChatGPT en DeepSeek, bezochte URL’s en andere browsingdata verzamelen en via HTTPS exfiltreren. Dat is belangrijk omdat deze extensies via vertrouwde marktplaatsen zijn verspreid en al ongeveer 900.000 installaties bereikten, waardoor ze een moeilijk te herkennen risico vormen voor datalekken en blootstelling van gevoelige bedrijfsinformatie.

Hulp nodig met Security?Praat met een expert

Introductie: waarom dit belangrijk is

Browserextensies voor AI-assistenten worden steeds gebruikelijkere "productiviteits"-add-ons voor kenniswerkers, vooral voor snelle toegang tot tools zoals ChatGPT en DeepSeek. Het onderzoek van Microsoft Defender laat zien hoe dit gemak kan veranderen in een kanaal voor dataverlies binnen enterprises: een lookalike-extensie die vanuit een vertrouwde marketplace wordt geïnstalleerd, kan continu gevoelige prompts, responses en interne URL’s verzamelen en exfiltreren zonder zich te gedragen als traditionele malware.

Wat is nieuw / belangrijkste bevindingen

Microsoft Defender onderzocht kwaadaardige Chromium-extensies die:

  • Legitieme AI-assistentextensies imiteren met herkenbare branding en machtigingsprompts (Defender wijst op imitatie van bekende tools zoals AITOPIA).
  • LLM-chatinhoud en browsingtelemetrie verzamelen, waaronder:
    • Volledig bezochte URL’s (inclusief interne sites)
    • Chatfragmenten (prompts en responses) van platforms zoals ChatGPT en DeepSeek
    • Modelidentificaties, navigatiecontext en een persistente UUID
  • Persistent blijven zoals normale extensies (automatisch opnieuw laden bij het starten van de browser, telemetrie opslaan in lokale extensieopslag).
  • Periodiek data exfiltreren via HTTPS POST, wat kan lijken op normaal webverkeer.

Rapportage van Defender geeft aan dat de extensies ~900.000 installaties bereikten, waarbij Defender-telemetrie activiteit bevestigt in meer dan 20.000 enterprise-tenants.

Hoe de aanval werkt (op hoofdlijnen)

  • Distributie: Gepubliceerd in de Chrome Web Store met AI-gerichte beschrijvingen. Omdat Microsoft Edge extensies uit de Chrome Web Store ondersteunt, maakt dezelfde listing bereik over meerdere browsers mogelijk.
  • Misbruik van vertrouwen en machtigingen: Brede Chromium-extensiemachtigingen maakten observatie van pagina-inhoud en browseactiviteit mogelijk. Er werd een misleidend toestemmingsmechanisme gebruikt, en updates konden telemetrie standaard opnieuw inschakelen, zelfs nadat gebruikers zich hadden afgemeld.
  • Command and control: Periodieke uploads naar door aanvallers beheerde domeinen zoals deepaichats[.]com en chatsaigpt[.]com, waarbij lokale buffers na verzending worden gewist om artefacten te verminderen.

Impact op IT-beheerders en eindgebruikers

  • Risico op datalekken: Prompts bevatten vaak bedrijfseigen code, interne processen, strategiediscussies, in chats geplakte credentials en andere vertrouwelijke inhoud. Exfiltratie van volledige URL’s kan de structuur van interne applicaties en gevoelige querystrings onthullen.
  • Compliance- en privacyblootstelling: Vastgelegde chatgeschiedenis kan gereguleerde of persoonlijke data bevatten, wat verplichtingen rond retentie, eDiscovery en data residency compliceert.
  • Extensierisico wordt "altijd aan": In tegenstelling tot een eenmalige phishinggebeurtenis kan een kwaadaardige extensie continue zichtbaarheid creëren in gebruikersactiviteit over sessies heen.

Aanbevolen acties / volgende stappen

  1. Jaag op bekende exfiltratie-endpoints en blokkeer ze door uitgaand HTTPS POST-verkeer te monitoren en netwerkcontroles toe te passen voor:
    • *.chatsaigpt.com
    • *.deepaichats.com
    • *.chataigpt.pro
    • *.chatgptsidebar.pro
  2. Inventariseer en audit browserextensies op beheerde endpoints, met focus op AI-/sidebar-tools met brede sitemachtigingen.
  3. Verscherp extension governance:
    • Gebruik allowlisting voor goedgekeurde extensies
    • Beperk installatiesources waar mogelijk
    • Controleer updategedrag en verschuivingen in machtigingen
  4. Gebruik Microsoft Defender Vulnerability Management om Browser extensions assessment uit te voeren, risicovolle extensies te identificeren en remediation te prioriteren.
  5. Informeer gebruikers: behandel AI-chats als gevoelige communicatie—vermijd het plakken van geheimen, tokens of bedrijfseigen inhoud tenzij de tool en het toegangspad expliciet zijn goedgekeurd.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Microsoft Defender Security Research Team
Microsoft Defenderbrowser extensionsdata exfiltrationAI securityChromium

Gerelateerde artikelen

Security

Trivy supply chain-aanval: Defender-richtlijnen

Microsoft heeft detectie-, onderzoeks- en mitigatierichtlijnen gepubliceerd voor het Trivy supply chain-compromis van maart 2026, dat de Trivy-binary en gerelateerde GitHub Actions trof. Het incident is belangrijk omdat vertrouwde CI/CD-beveiligingstools werden misbruikt om referenties te stelen uit buildpijplijnen, cloudomgevingen en ontwikkelaarsystemen terwijl alles ogenschijnlijk normaal bleef werken.

Security

AI-agentgovernance: intent afstemmen voor security

Microsoft schetst een governancemodel voor AI-agents dat gebruikers-, ontwikkelaars-, rolgebaseerde en organisatorische intent op elkaar afstemt. Het framework helpt ondernemingen agents nuttig, veilig en compliant te houden door gedragsgrenzen en een duidelijke rangorde te definiëren wanneer conflicten ontstaan.

Security

Microsoft Defender predictive shielding stopt GPO-ransomware

Microsoft beschreef een praktijkgeval van ransomware waarbij Defender’s predictive shielding misbruik van Group Policy Objects (GPO’s) detecteerde voordat encryptie begon. Door GPO-verspreiding te verharden en gecompromitteerde accounts te verstoren, blokkeerde Defender ongeveer 97% van de poging tot encryptie en voorkwam het dat apparaten via het GPO-distributiepad werden versleuteld.

Security

Microsoft beveiliging voor agentic AI op RSAC 2026

Microsoft presenteerde op RSAC 2026 een end-to-end beveiligingsaanpak voor agentic AI, met als belangrijkste aankondiging dat Agent 365 op 1 mei algemeen beschikbaar wordt als control plane om AI-agents op schaal te beheren, beveiligen en monitoren. Daarnaast introduceert het bedrijf nieuwe zichtbaarheidstools zoals het Security Dashboard for AI en Entra Internet Access Shadow AI Detection, wat belangrijk is omdat organisaties sneller AI inzetten en daardoor meer risico lopen op datalekken, onbeheerd AI-gebruik en nieuwe dreigingen.

Security

CTI-REALM open-source benchmark voor AI-detectie

Microsoft heeft CTI-REALM uitgebracht, een open-source benchmark die meet of AI-agents daadwerkelijk bruikbare detectieregels kunnen bouwen en valideren op basis van threat intelligence, in plaats van alleen cybervragen te beantwoorden. Dat is relevant voor security- en SOC-teams, omdat het een realistischer beeld geeft van de praktische inzetbaarheid van AI in detectie-engineering over Linux, AKS en Azure-omgevingen.

Security

Microsoft Zero Trust for AI: workshop en architectuur

Microsoft heeft zijn Zero Trust-aanpak uitgebreid naar AI met nieuwe richtlijnen en een aparte AI-pijler in de Zero Trust Workshop, zodat organisaties risico’s rond modellen, agents, prompts en databronnen systematisch kunnen beoordelen. Dit is belangrijk omdat bedrijven AI snel invoeren en securityteams daarmee concrete handvatten krijgen om dreigingen zoals prompt injection, data poisoning en ongeautoriseerde toegang beter te beheersen.