Security

Defender: AI-расширения крадут истории чатов LLM

3 мин. чтения

Кратко

Microsoft Defender обнаружила вредоносные Chromium-расширения, маскирующиеся под AI-помощников и способные собирать истории чатов с ChatGPT и DeepSeek, посещённые URL, внутренние адреса и другую телеметрию, отправляя её на внешние серверы через обычный HTTPS-трафик. Это особенно важно для компаний, потому что такие расширения могут выглядеть как легитимные инструменты продуктивности, но фактически превращаются в скрытый канал утечки чувствительных данных и внутреннего контекста работы.

Нужна помощь с Security?Поговорить с экспертом

Введение: почему это важно

Расширения для браузера с AI-помощниками становятся распространёнными «продуктивными» дополнениями для специалистов умственного труда, особенно для быстрого доступа к таким инструментам, как ChatGPT и DeepSeek. Расследование Microsoft Defender показывает, как это удобство может превратиться в корпоративный канал утечки данных: «двойник» расширения, установленный из доверенного маркетплейса, способен непрерывно собирать и эксфильтрировать чувствительные промпты, ответы и внутренние URL — при этом не ведя себя как традиционное вредоносное ПО.

Что нового / ключевые выводы

Microsoft Defender исследовала вредоносные расширения Chromium, которые:

  • Имитируют легитимные расширения AI-помощников, используя узнаваемый брендинг и запросы разрешений (Defender отмечает подражание известным инструментам, таким как AITOPIA).
  • Собирают содержимое чатов LLM и телеметрию браузинга, включая:
    • Полные посещённые URL (включая внутренние сайты)
    • Фрагменты чатов (промпты и ответы) с таких платформ, как ChatGPT и DeepSeek
    • Идентификаторы модели, контекст навигации и постоянный UUID
  • Закрепляются как обычные расширения (автоперезагрузка при запуске браузера, хранение телеметрии в локальном хранилище расширения).
  • Периодически эксфильтрируют данные через HTTPS POST, что может выглядеть как обычный веб-трафик.

Согласно отчётности Defender, расширения достигли ~900 000 установок, а телеметрия Defender подтверждает активность в 20 000+ корпоративных тенантах.

Как работает атака (в общих чертах)

  • Доставка: публикация в Chrome Web Store с описаниями на AI-тематику. Поскольку Microsoft Edge поддерживает расширения из Chrome Web Store, одна и та же публикация обеспечивает охват сразу нескольких браузеров.
  • Эксплуатация доверия и разрешений: широкие разрешения расширений Chromium позволяли наблюдать за содержимым страниц и активностью браузинга. Использовался вводящий в заблуждение механизм согласия, а обновления могли повторно включать сбор телеметрии по умолчанию даже после отказа пользователя.
  • Командование и управление: периодические выгрузки на домены, контролируемые злоумышленниками, такие как deepaichats[.]com и chatsaigpt[.]com, с очисткой локальных буферов после передачи для уменьшения артефактов.

Влияние на IT-администраторов и конечных пользователей

  • Риск утечки данных: промпты часто содержат проприетарный код, внутренние процессы, обсуждения стратегии, учётные данные, вставленные в чаты, и другой конфиденциальный контент. Эксфильтрация полных URL может раскрывать структуру внутренних приложений и чувствительные строки запросов.
  • Риски для соответствия требованиям и приватности: перехваченная история чатов может содержать регулируемые или персональные данные, усложняя выполнение требований по хранению, eDiscovery и резидентности данных.
  • Риск расширений становится «постоянно включённым»: в отличие от одноразовой фишинговой атаки, вредоносное расширение может обеспечивать непрерывную видимость активности пользователя между сессиями.

Рекомендуемые действия / следующие шаги

  1. Ищите и блокируйте известные конечные точки эксфильтрации, мониторя исходящий трафик HTTPS POST и применяя сетевые меры контроля для:
    • *.chatsaigpt.com
    • *.deepaichats.com
    • *.chataigpt.pro
    • *.chatgptsidebar.pro
  2. Инвентаризируйте и аудируйте расширения браузера на управляемых конечных точках, уделяя особое внимание AI/side-bar инструментам с широкими разрешениями на сайты.
  3. Ужесточите управление расширениями:
    • Используйте allowlisting для утверждённых расширений
    • По возможности ограничьте источники установки
    • Проверяйте поведение обновлений и дрейф разрешений
  4. Используйте Microsoft Defender Vulnerability Management для запуска Browser extensions assessment, выявляйте рискованные расширения и приоритизируйте исправления.
  5. Обучайте пользователей: относитесь к AI-чатам как к чувствительным коммуникациям — не вставляйте секреты, токены или проприетарный контент, если инструмент и путь доступа не утверждены явно.

Нужна помощь с Security?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Microsoft Defender Security Research Team
Microsoft Defenderbrowser extensionsdata exfiltrationAI securityChromium

Похожие статьи

Security

Компрометация цепочки поставок Trivy: рекомендации Defender

Microsoft опубликовала рекомендации по обнаружению, расследованию и смягчению последствий компрометации цепочки поставок Trivy в марте 2026 года, затронувшей бинарный файл Trivy и связанные GitHub Actions. Инцидент важен тем, что доверенный инструмент безопасности CI/CD был использован для кражи учетных данных из пайплайнов сборки, облачных сред и систем разработчиков, при этом внешне работая как обычно.

Security

Управление AI Agent: выравнивание намерений для безопасности

Microsoft описывает модель управления для AI agents, которая выравнивает намерения пользователя, разработчика, роли и организации. Эта структура помогает компаниям сохранять полезность, безопасность и соответствие требованиям, задавая поведенческие границы и понятный порядок приоритета при возникновении конфликтов.

Security

Predictive shielding в Microsoft Defender против GPO-шифровальщика

Microsoft описала реальный случай ransomware, в котором predictive shielding в Defender обнаружил вредоносное злоупотребление Group Policy Objects (GPO) до начала шифрования. За счёт усиления защиты распространения GPO и блокировки скомпрометированных учётных записей Defender остановил около 97% попыток шифрования и не позволил зашифровать ни одно устройство через путь доставки GPO.

Security

Защита agentic AI: новые решения Microsoft на RSAC

На RSAC 2026 Microsoft представила комплексный набор решений для защиты agentic AI, включая Agent 365, который станет общедоступным 1 мая и позволит централизованно управлять, защищать и контролировать AI-агентов в связке с Defender, Entra и Purview. Это важно, потому что по мере массового внедрения AI-агентов компаниям нужны новые инструменты для выявления теневого использования AI, снижения риска утечек данных и управления доступом в масштабе всей организации.

Security

Microsoft open source CTI-REALM для AI detection engineering

Microsoft открыла CTI-REALM — бенчмарк, который проверяет, могут ли AI-агенты реально выполнять задачи detection engineering: анализировать CTI-отчёты, сопоставлять техники MITRE ATT&CK и создавать/валидировать правила обнаружения. Это важно для SOC и security-команд, потому что инструмент смещает оценку ИИ от теоретических ответов к практическим операционным результатам в Linux, AKS и Azure-средах.

Security

Zero Trust for AI от Microsoft: воркшоп и архитектура

Microsoft представила подход Zero Trust for AI и обновила Zero Trust Workshop, добавив отдельный AI-столп для оценки и проектирования защиты моделей, агентов, данных и автоматизированных решений. Это важно для компаний, внедряющих AI: новые рекомендации помогают системно учитывать риски вроде prompt injection и data poisoning, а также согласовать меры безопасности между IT, ИБ и бизнесом.