恶意 AI 助手潜伏浏览器:超 90 万次安装,2 万家企业面临数据窃密风险

你是否曾在浏览器中安装过各类 “AI 助手” 扩展程序？

这类工具可快速完成网页内容总结、多语言翻译，乃至直接调用大模型进行交互，使用便捷高效。

但你或许未曾察觉：一款外观看似无害的 AI 侧边栏扩展，正凭借超 90 万次的安装量，悄然成为全球逾 2 万家企业的隐形窃密工具。微软 Defender 安全研究团队近期曝光了一场针对企业数据的大规模、长期化、高隐蔽性数据窃取活动。

攻击者将恶意扩展程序上架至 Chrome 网上应用店等官方平台，命名极具正规性：

• AI Assistant

• Chat Helper

• Smart AI SideBar

• Prompt Genius

其图标、功能描述与界面截图均高度模仿市面主流 AI 生产力工具，视觉与功能层面几乎以假乱真。

当前 Chrome、Edge、Arc 等主流浏览器均基于 Chromium 内核开发，恶意扩展可实现跨平台广泛传播。

企业员工往往误以为是公司推荐的合规 AI 工具，在毫无戒备的情况下完成安装。

该扩展一旦安装，便会获取高权限，成为浏览器中持续运行的 “内部威胁”，主要窃取三类关键信息：

1. AI 交互全量内容

用户向 ChatGPT、DeepSeek、文心一言、Claude、Gemini 等模型输入的全部提示词，以及模型返回的完整响应内容，直接泄露企业核心业务思路与决策过程。

2. 企业内网与系统访问痕迹

包括内网访问地址、私有看板、BI 系统、代码仓库、OA、ERP 等平台 URL，甚至携带身份凭证的跳转链接。

3. 用户行为精准画像

页面访问轨迹、所使用 AI 模型类型、设备指纹、UUID 等标识信息。

长期数据积累可精准勾勒员工岗位、权限范围与日常工作路径。

上述数据经 Base64 编码封装为 JSON 格式，通过加密通道定期上传至攻击者控制的服务器域名（如 deepaichats [.] com 等）。

更为恶劣的是，即便用户手动关闭 “数据共享” 选项，扩展可通过后续更新静默重新开启，全程无任何提示。

攻击者获取上述数据后，可实现：

• 直接窃取未公开产品需求文档、PRD、代码片段、商业规划等核心机密；

• 掌握企业内部审批流程、命名规范、关键系统简称等运营信息；

• 推演核心业务系统 URL 结构与权限模型；

• 为后续鱼叉式钓鱼、凭据窃取、供应链攻击提供高精度情报支撑。

此类行为已非普通数据泄露，而是为高级持续性威胁（APT）攻击构建完整的情报基础。

1. 全面排查扩展程序

通过 Intune、Jamf、飞书多端管理、企业微信等 MDM 管理工具，扫描全终端浏览器扩展清单，重点核查名称含 “AI”“Chat”“Helper”“Assistant” 的未知插件。

2. 启用严格白名单策略

将浏览器扩展策略配置为 “默认拒绝 + 严格白名单” 模式，仅允许经安全团队审核的扩展运行。该策略防护效果显著，需在安全与业务效率间合理平衡。

3. 强化员工安全意识

常态化宣导安全准则：即便来源于 Chrome 应用商店的 AI 扩展，若申请 “读取和更改所有网站数据” 权限，必须先经安全团队确认。

4. 网络流量监测加固

在防火墙、Web 代理、EDR、SOC 监测规则中，增加对浏览器进程向可疑域名发送大量 Base64 或 JSON 格式流量的检测与告警机制。

人工智能正深度融入企业业务流程，而所有可触达人机交互内容的组件，均成为数据泄露的新型风险边界。

浏览器已不再是单纯的访问工具，而是当前最具风险的数据出入口。

当一款看似提升效率的 AI 插件，持续将企业核心商业机密传输至未知服务器时，我们必须正视：我们是否真正做好了应对 “AI 时代边界安全” 的准备？

安全没有可选余地，而是企业发展的必答题。