新报告显示：多数浏览器扩展存在严重的安全风险

浏览器扩展已深度嵌入员工日常工作流程，从语法检查到寻找折扣等任务均提供助力。然而，其广泛权限带来了重大安全风险，却大多未被IT和安全团队察觉。

一份独特的《2025年企业浏览器扩展安全报告》首次结合公开扩展商店数据与企业实际使用遥测数据，揭示了这一被低估的威胁载体。

报告主要发现：

1. 扩展无处不在但危险：99%的企业用户安装了浏览器扩展，其中52%运行超过10个扩展，显著扩大了威胁面。
   安全分析：几乎每位员工都可能危及组织安全。
2. 对敏感数据的广泛权限：企业环境中53%的扩展拥有“高”或“关键”风险权限，可访问Cookie、密码、浏览历史和网页内容等敏感数据。
   安全分析：单个被攻破的扩展可能使整个组织陷入风险。
3. 生成式AI扩展：隐蔽威胁：超过20%的企业员工使用生成式AI扩展，其中58%具有“高”或“关键”权限，构成重大风险。
   安全分析：企业必须对生成式AI扩展的使用和数据处理实施严格政策。
4. 不可信的扩展发布者：54%的扩展通过Gmail账户匿名发布，79%来自仅发布过单个扩展的发布者，导致信任评估极度困难。
   安全分析：扩展信任验证高度困难，增加了恶意活动的可能性。
5. 废弃和过时扩展：51%的扩展超过一年未更新，26%的企业扩展通过旁加载规避安全审查。
   安全分析：过时或未受管理的扩展因潜在漏洞显著增加安全风险。

对安全和IT团队的建议：

1. 审计企业环境中所有浏览器扩展。
2. 对扩展进行分类以了解其风险特征。
3. 详细枚举和分析扩展权限。
4. 对每个扩展执行全面风险评估。
5. 实施基于风险的自适应安全策略以有效管理扩展威胁。

消息来源：bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；