كشفت تحليلات أمنية عن تعرض مئات الآلاف من مستخدمي متصفح Google Chrome لاختراقات واسعة من خلال إضافات مزيفة ظهرت على أنها أدوات مساعد ذكي، فيما كانت تجمع بيانات المستخدمين بما في ذلك محتوى المحادثات مع ChatGPT وDeepSeek، وبيانات التصفح، والرموز المستخدمة لتسجيل الدخول إلى الجلسات. وقدر الباحثون أن عدد ضحايا هذه الحملة يتجاوز 900 ألف مستخدم.
رصد الباحثون في شركة OX Security النشاط المشبوه في 29 ديسمبر 2025، وتبين أن الإضافات المتورطة حملت أسماء توهم بالشرعية وظهر بعضها بوسم Featured المخصص للإضافات الجديرة بالثقة، ما زاد من انتشارها.
الإضافات المعنية هي:
- Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI (بحوالي 600 ألف مستخدم)
- AI Sidebar with Deepseek, ChatGPT, Claude and more (بحوالي 300 ألف مستخدم)
تبين أن هذه الإضافات تقوم بتصدير سجل محادثات المستخدمين وبيانات التصفح تلقائياً كل 30 دقيقة، متضمنة رموز الجلسات التي تتيح الوصول المباشر إلى الحسابات دون الحاجة لإعادة المصادقة، ما يمكن المهاجم من الاستيلاء الكامل على الجلسة.
وأشارت بعض التقارير إلى أن هذه الإضافات لا تزال متاحة في متجر Chrome حتى وقت إعداد التقرير، رغم إبلاغ Google بها ومباشرة عملية المراجعة.
لا تتعلق الخطورة فقط بنطاق الاختراق، بل بكون بعض هذه الإضافات مصنفة ضمن إضافات تتبع أفضل الممارسات، ما يشير إلى احتمال استخدامها داخل البيئات المهنية. وغالباً ما تتضمن محادثات أدوات الذكاء الاصطناعي معلومات حساسة كأكواد مصدرية أو بيانات تشغيلية أو معلومات عملاء يجري إدخالها دون وعي بمستوى حمايتها.
تأتي هذه الحادثة ضمن موجة أوسع من التهديدات التي تستغل إضافات المتصفح لتسريب البيانات، مثل الحملات المرتبطة بخدمات VPN أو التي تبدأ بإضافات شرعية تتحول إلى خبيثة بعد تحديثات لاحقة.
توصيات فورية للمستخدمين والمنشآت لتقليل الأثر وتفادي مخاطر مماثلة
على المستوى الفردي، ينصح بحذف الإضافات غير الضرورية، ومراجعة الأذونات خصوصاً صلاحيات قراءة وتعديل بيانات المواقع، وتسجيل الخروج من خدمات الذكاء الاصطناعي مثل ChatGPT، ثم إعادة تسجيل الدخول وتغيير كلمات المرور وتفعيل المصادقة متعددة العوامل (MFA) عند توفرها.
أما على مستوى المنشآت، فيوصى بتفعيل سياسة قائمة السماح للإضافات المسموح بها، وحصر التثبيت على المتصفحات المدارة مركزياً، بالإضافة إلى مراقبة الإضافات التي تتمتع بصلاحيات واسعة. ويجب تصنيف أدوات الذكاء الاصطناعي التوليدي GenAI ضمن نطاق البيانات الحساسة عند إعداد السياسات المؤسسية.
