HackerNews 编译,转载请注明出处:
众所周知,浏览器扩展(从拼写检查工具到生成式AI工具)几乎已嵌入每位用户的日常工作流程。但多数IT与安全人员尚未意识到:浏览器扩展的过度权限正成为企业日益增长的风险。
LayerX今日发布《2025企业浏览器扩展安全报告》,这是首份也是唯一将公共扩展市场统计数据与企业实际使用遥测数据相结合的报告。通过这种方式,该报告揭示了现代网络安全中最被低估的威胁面之一:浏览器扩展。
报告揭示了多项值得IT与安全负责人在制定2025下半年计划时关注的发现,包括有关”多少扩展具有危险权限”、”授予了哪些类型权限”、”扩展开发者是否可信”等数据与分析。以下是报告关键数据摘录。
《2025企业浏览器扩展安全报告》核心发现:
- 浏览器扩展在企业环境无处不在。99%(几乎所有)员工安装了浏览器扩展,52%安装超过10个扩展。
安全分析:几乎所有员工都暴露于浏览器扩展风险中。多数扩展可访问关键数据。53%企业用户安装的扩展能访问Cookie、密码、网页内容、浏览信息等敏感数据。
安全分析:单个员工层面的漏洞可能危及整个组织。扩展发布者身份成谜。超半数(54%)扩展发布者身份未知(仅通过Gmail识别),79%发布者仅发布过1个扩展。
安全分析:追踪扩展信誉度极为困难(即便动用IT资源也难以实现)。生成式AI扩展威胁加剧。超20%用户至少安装1个生成式AI扩展,其中58%具有高风险权限范围。
安全分析:企业应制定明确的生成式AI扩展使用与数据共享政策。未维护/未知扩展引发担忧。51%扩展超过1年未更新,26%企业扩展采用旁加载方式(绕过应用商店基础审查)。
安全分析:即使非恶意扩展也可能存在漏洞。
报告不仅提供数据,更为安全与IT团队提供应对浏览器扩展威胁的行动指南。
LayerX建议企业采取以下措施:
- 全面审计扩展 – 掌握所有扩展信息是理解威胁面的基础。因此,防范恶意扩展的第一步是审计员工使用的所有扩展。分类扩展类型 – 某些扩展类型因其广泛用户基础(如生成式AI扩展)或获得的高危权限而更易受攻击。分类有助于评估浏览器扩展安全态势。枚举扩展权限 – 列出各扩展可访问的信息类型,帮助绘制攻击面并配置后续策略。评估扩展风险 – 基于权限与数据访问能力评估各扩展风险。整体风险评估还需纳入信誉度、流行度、发布者及安装方式等外部参数,最终形成统一风险评分。实施自适应策略 – 根据分析结果,制定符合企业使用场景、需求与风险特征的自适应风险策略。
浏览器扩展不仅是生产力工具,更是多数企业尚未意识到的攻击媒介。LayerX《2025报告》通过全面发现与数据驱动分析,帮助CISO与安全团队管控风险,构建可防御的浏览器环境。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
