Nettleserutvidelser blir hull i AI-chatten

Hva har skjedd?

Sikkerhetsforskeren Lohitya Pushkar har publisert LLMReaper, et forskningsprosjekt som viser hvordan en nettleserutvidelse kan lese samtaler i populære AI-tjenester direkte fra nettleserens DOM. Poenget er enkelt og ubehagelig: Når en bruker gir en utvidelse tilgang til en nettside, kan utvidelsen i praksis se mye av det brukeren ser og skriver på den siden.

Pushkar beskriver hvordan en utvidelse kan følge endringer i siden i sanntid og fange opp prompt, svar og sensitivt innhold fra AI-chat. Prosjektet er demonstrert som forskning, ikke som en bekreftet masseutnyttelse mot én leverandør. Men risikoen er konkret nok til at den bør inn i virksomheters AI-styring nå.

Dette handler ikke om at OpenAI, Anthropic eller Google nødvendigvis er kompromittert. Det handler om laget rundt dem: nettleseren, utvidelsene, rettighetene brukeren har gitt, og hvor lite kontroll mange virksomheter har med hva som faktisk kjører i ansattes nettlesere.

Hvorfor dette treffer AI-policy rett i siden

Mange virksomheter har laget retningslinjer for hva ansatte kan lime inn i ChatGPT, Claude, Gemini eller Copilot. Færre har koblet den policyen til teknisk kontroll i nettleseren. Da blir policyen fort et fromt håp.

Hvis en ansatt limer inn kildekode, kontraktsutkast, persondata, API-nøkler eller kundedata i en AI-chat, er det ikke nok å spørre om AI-leverandøren trener på dataene. Man må også spørre hva som ellers har tilgang til siden. En ondsinnet eller kompromittert utvidelse trenger ikke bryte seg inn hos AI-leverandøren for å se innholdet. Den kan lese det der brukeren selv jobber.

Dette gjør AI-chat til et endpoint- og nettleserproblem. Det er ikke bare et juridisk problem, og ikke bare et innkjøpsproblem. Det er en blanding av identitet, endpoint-sikkerhet, DLP, secrets-håndtering, nettleserstyring og opplæring.

Hva LLMReaper viser

LLMReaper beskriver en passiv innsamling av AI-samtaler. Prosjektet peker på at samtaler i webgrensesnitt vises som vanlig sideinnhold. Nettleserutvidelser som har fått tilgang til domenet, kan observere endringer og trekke ut tekst fortløpende.

Forskeren viser også hvordan slike samtaler kan analyseres for sensitivt innhold: API-nøkler, tokens, passord, skykonfigurasjon, personopplysninger og interne detaljer. Det er nettopp den typen data ansatte ofte legger inn når de ber en modell feilsøke kode, skrive en integrasjon, rydde i en logg eller forklare en feilmelding.

Det farlige er ikke at teknikken er eksotisk. Det farlige er at den er hverdagslig. Nettleserutvidelser brukes til passord, oversettelse, skjermbilder, møteopptak, produktivitet, annonseblokkering, shopping, grammatikk og utviklerverktøy. Mange har brede rettigheter. Mange oppdateres automatisk. Noen selges videre. Noen blir kompromittert.

Konsekvens for norske CIO-er og CISO-er

Dette bør endre hvordan virksomheter vurderer generativ AI i nettleseren. Det holder ikke å si at ansatte ikke skal dele sensitiv informasjon. Man må redusere sannsynligheten for at sensitiv informasjon fanges opp når ansatte likevel gjør feil.

For CISO betyr det at nettleserutvidelser må inn i samme styringsregime som annen programvare. Tillatelsesmodellen bør være strengere for domener der ansatte bruker AI-tjenester. Utvidelser bør allowlistes, ikke bare blokkeres etter hendelse. Managed browser, policy for extension permissions og logging av nye utvidelser blir plutselig relevant AI-sikkerhet, ikke bare klassisk endpoint-hygiene.

For CIO betyr det at godkjente AI-verktøy må leveres med en trygg arbeidsflate. Hvis virksomheten vil ha ansatte over fra private kontoer til kontrollerte enterprise-løsninger, må brukeropplevelsen være god nok og teknisk låst ned nok. Hvis ikke flytter brukerne bare arbeidet til en uregulert nettleserprofil.

For DPO betyr det at persondata i AI-chat må vurderes bredere enn databehandleravtalen med AI-leverandøren. Hvis en tredjepartsutvidelse kan lese innholdet, har virksomheten et lekkasjepunkt som ikke fanges av standard AI-vurdering.

Hva bør gjøres nå?

Første tiltak er kartlegging. Hvilke AI-tjenester brukes i nettleser? Hvilke nettlesere og profiler er standard? Hvilke utvidelser er installert hos utviklere, økonomi, HR, ledelse og kundeservice? Hvilke av dem har tilgang til alle nettsteder?

Andre tiltak er teknisk begrensning. Virksomheter bør vurdere managed browser-policy, allowlist for utvidelser, blokkering av ukjente utvidelser på AI-domener og tydelige skiller mellom privat og administrert nettleserprofil. For utviklere bør secrets scanning og DLP kobles til både kodebaser og typiske kopier-og-lim-arbeidsflyter.

Tredje tiltak er opplæring som faktisk treffer. Ansatte trenger ikke en lang AI-policy. De trenger noen klare regler: Ikke lim inn nøkler. Ikke lim inn kundedata. Ikke lim inn ukrypterte logger. Ikke installer AI- eller produktivitetsutvidelser uten godkjenning. Bruk enterprise-verktøyet, ikke den tilfeldige chatfanen med fem ukjente extensions i hjørnet.

Nøktern vurdering

LLMReaper er en forskningsdemonstrasjon. Den bør ikke overselges som et nytt massivt angrep i seg selv. Men den peker på et hull som mange virksomheter allerede har.

Det største problemet er ikke at AI-chat er farlig. Problemet er at virksomheter har plassert høyverdiarbeid i nettleseren uten å behandle nettleseren som en sikkerhetsgrense. Når AI brukes til kode, kontrakter, hendelseshåndtering og kundedata, blir nettleserutvidelser en del av AI-risikoen.

Det er billigere å rydde i utvidelser nå enn å forklare etterpå hvorfor en ukjent plugin hadde fri sikt inn i interne AI-samtaler.

Kilder og medier

Primærkilde: Lohitya Pushkar, «LLMReaper - DOM Based AI Conversation Exfiltration via Browser Extensions», publisert 27. mai og oppdatert 30. mai 2026. Source URL: https://thewhiteh4t.github.io/blog/ai-chat-llmreaper/

Tilleggskilde: GitHub-repositoriet for LLMReaper, brukt som prosjekt- og PoC-referanse: https://github.com/thewhiteh4t/LLMReaper

Kildekreditering: Lohitya Pushkar / thewhiteh4t og GitHub. Omtalen er skrevet defensivt og beskriver styrings- og kontrolltiltak, ikke en operativ angrepsoppskrift.

Thumbnail: OpenAI Image 2 / hogby.ai