Security

Złośliwe rozszerzenia AI kradną historię czatów LLM

3 min czytania

Podsumowanie

Microsoft Defender wykrył złośliwe rozszerzenia Chromium podszywające się pod asystentów AI, które mogą kraść historię rozmów z ChatGPT i DeepSeek, odwiedzane adresy URL oraz inne dane kontekstowe, a następnie wysyłać je na zewnątrz przez zwykły ruch HTTPS. To ważne, bo pokazuje, że nawet dodatki pobrane z zaufanych marketplace’ów mogą stać się cichym kanałem wycieku poufnych informacji firmowych i użytkowników, zwłaszcza przy skali sięgającej setek tysięcy instalacji.

Potrzebujesz pomocy z Security?Porozmawiaj z ekspertem

Wprowadzenie: dlaczego to ważne

Rozszerzenia przeglądarki z asystentami AI stają się powszechnymi dodatkami zwiększającymi „produktywność” pracowników wiedzy, zwłaszcza w celu szybkiego dostępu do narzędzi takich jak ChatGPT i DeepSeek. Dochodzenie Microsoft Defender pokazuje, jak ta wygoda może przekształcić się w kanał utraty danych w przedsiębiorstwie: rozszerzenie typu look-alike zainstalowane z zaufanego marketplace może stale zbierać i wyprowadzać na zewnątrz poufne prompty, odpowiedzi i wewnętrzne adresy URL, nie zachowując się jak tradycyjne malware.

Co nowego / kluczowe ustalenia

Microsoft Defender zbadał złośliwe rozszerzenia Chromium, które:

  • Podszywają się pod legalne rozszerzenia asystentów AI, używając znajomego brandingu i monitów o uprawnienia (Defender wskazuje na imitację znanych narzędzi, takich jak AITOPIA).
  • Zbierają zawartość czatów LLM i telemetrię przeglądania, w tym:
    • Pełne odwiedzane URLs (w tym witryny wewnętrzne)
    • Fragmenty czatów (prompty i odpowiedzi) z platform takich jak ChatGPT i DeepSeek
    • Identyfikatory modeli, kontekst nawigacji oraz trwały UUID
  • Utrzymują się jak zwykłe rozszerzenia (automatyczne ponowne ładowanie przy uruchomieniu przeglądarki, przechowywanie telemetrii w lokalnym magazynie rozszerzenia).
  • Okresowo wyprowadzają dane przez HTTPS POST, co może przypominać zwykły ruch webowy.

Raporty Defender wskazują, że rozszerzenia osiągnęły ~900 000 instalacji, a telemetria Defender potwierdziła aktywność w ponad 20 000 dzierżawach przedsiębiorstw.

Jak działa atak (na wysokim poziomie)

  • Dostarczenie: Opublikowane w Chrome Web Store z opisami związanymi z AI. Ponieważ Microsoft Edge obsługuje rozszerzenia z Chrome Web Store, ta sama lista umożliwia zasięg między przeglądarkami.
  • Wykorzystanie zaufania i uprawnień: Szerokie uprawnienia rozszerzeń Chromium pozwalały obserwować zawartość stron i aktywność przeglądania. Zastosowano wprowadzający w błąd mechanizm zgody, a aktualizacje mogły domyślnie ponownie włączać telemetrię nawet po rezygnacji użytkowników.
  • Command and control: Okresowe wysyłanie danych do domen kontrolowanych przez atakujących, takich jak deepaichats[.]com i chatsaigpt[.]com, z czyszczeniem lokalnych buforów po transmisji w celu ograniczenia artefaktów.

Wpływ na administratorów IT i użytkowników końcowych

  • Ryzyko wycieku danych: Prompty często zawierają zastrzeżony kod, procesy wewnętrzne, dyskusje strategiczne, poświadczenia kopiowane do czatów i inne poufne treści. Wyprowadzenie pełnych adresów URL może ujawnić strukturę aplikacji wewnętrznych i wrażliwe parametry query string.
  • Narażenie na problemy zgodności i prywatności: Przechwycona historia czatów może zawierać dane regulowane lub dane osobowe, komplikując obowiązki związane z retencją, eDiscovery i rezydencją danych.
  • Ryzyko związane z rozszerzeniem staje się „zawsze aktywne”: W przeciwieństwie do jednorazowego incydentu phishingowego złośliwe rozszerzenie może zapewniać ciągłą widoczność aktywności użytkownika między sesjami.

Zalecane działania / kolejne kroki

  1. Wyszukuj i blokuj znane endpointy exfiltration, monitorując wychodzący ruch HTTPS POST i stosując kontrolę sieciową dla:
    • *.chatsaigpt.com
    • *.deepaichats.com
    • *.chataigpt.pro
    • *.chatgptsidebar.pro
  2. Inwentaryzuj i audytuj rozszerzenia przeglądarek na zarządzanych punktach końcowych, koncentrując się na narzędziach AI/sidebar z szerokimi uprawnieniami do witryn.
  3. Zaostrz zarządzanie rozszerzeniami:
    • Używaj allowlist dla zatwierdzonych rozszerzeń
    • Ograniczaj źródła instalacji tam, gdzie to możliwe
    • Przeglądaj zachowania aktualizacji i dryf uprawnień
  4. Korzystaj z Microsoft Defender Vulnerability Management, aby uruchamiać Browser extensions assessment, identyfikować ryzykowne rozszerzenia i priorytetyzować działania naprawcze.
  5. Edukuj użytkowników: traktuj czaty AI jak wrażliwą komunikację — unikaj wklejania tajemnic, tokenów lub zastrzeżonych treści, chyba że narzędzie i ścieżka dostępu są wyraźnie zatwierdzone.

Potrzebujesz pomocy z Security?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Microsoft Defender Security Research Team
Microsoft Defenderbrowser extensionsdata exfiltrationAI securityChromium

Powiązane artykuły

Security

Kompromitacja łańcucha dostaw Trivy: wskazówki Defender

Microsoft opublikował wskazówki dotyczące wykrywania, badania i ograniczania skutków kompromitacji łańcucha dostaw Trivy z marca 2026 r., która dotknęła binarkę Trivy i powiązane GitHub Actions. Incydent jest istotny, ponieważ wykorzystał zaufane narzędzia bezpieczeństwa CI/CD do kradzieży poświadczeń z potoków buildów, środowisk chmurowych i systemów deweloperskich, jednocześnie pozornie działając normalnie.

Security

Governance AI agentów: zgodność intencji i bezpieczeństwo

Microsoft przedstawia model governance dla AI agents, który łączy intencje użytkownika, dewelopera, role-based oraz organizacji. Framework pomaga firmom utrzymać agentów jako użytecznych, bezpiecznych i zgodnych z wymaganiami, definiując granice zachowań oraz jasną hierarchię priorytetów w razie konfliktów.

Security

{{Microsoft Defender predictive shielding blokuje GPO ransomware}}

{{Microsoft opisał rzeczywisty przypadek ransomware, w którym predictive shielding w Defender wykrył złośliwe nadużycie Group Policy Object jeszcze przed rozpoczęciem szyfrowania. Dzięki wzmocnieniu propagacji GPO i zakłóceniu działania przejętych kont Defender zablokował około 97% prób szyfrowania i nie dopuścił do zaszyfrowania żadnych urządzeń przez ścieżkę dostarczania opartą na GPO.}}

Security

Zabezpieczenia agentic AI od Microsoft na RSAC 2026

Microsoft na RSAC 2026 zaprezentował strategię zabezpieczania agentic AI w firmach, obejmującą ochronę agentów, tożsamości, danych i infrastruktury, a także potwierdził premierę Agent 365 w modelu general availability od 1 maja. To ważne, bo wraz z rosnącym wdrożeniem AI w przedsiębiorstwach organizacje potrzebują narzędzi do centralnego zarządzania ryzykiem, wykrywania nieautoryzowanego użycia AI i ograniczania nadmiernego udostępniania danych.

Security

CTI-REALM open source: benchmark AI do detekcji

Microsoft udostępnił open source benchmark CTI-REALM, który sprawdza, czy agenci AI potrafią wykonywać realną pracę z obszaru inżynierii detekcji — od analizy raportów threat intelligence po tworzenie i walidację reguł detekcji. To ważne dla zespołów SOC i bezpieczeństwa, ponieważ zamiast mierzyć wyłącznie wiedzę modelu, narzędzie ocenia jego skuteczność w praktycznych zadaniach operacyjnych w środowiskach takich jak Linux, AKS i chmura Azure.

Security

Zero Trust for AI od Microsoft: warsztaty i ocena

Microsoft wprowadza wytyczne Zero Trust for AI, które przenoszą zasady Zero Trust na modele, agentów, dane i zautomatyzowane decyzje, aby pomóc firmom bezpiecznie wdrażać AI. Firma rozszerzyła też Zero Trust Workshop o dedykowany filar AI oraz rozbudowane oceny i kontrolki, co ma ułatwić zespołom IT i bezpieczeństwa identyfikację ryzyk takich jak prompt injection czy data poisoning oraz lepsze planowanie zabezpieczeń.