報告：過半數企業擴充套件具高風險權限，GenAI擴充套件成新威脅

網路安全公司LayerX發布《2025年企業瀏覽器擴充套件安全報告》，揭露了企業環境中的嚴重安全盲點。報告顯示，高達99%的企業用戶安裝了瀏覽器擴充套件，而其中超過半數具有「高」或「嚴重」風險權限，可能讓企業面臨大規模資料洩露風險。

擴充套件已成企業最大安全漏洞

根據LayerX的研究，瀏覽器擴充套件已成為企業安全中最被忽視的威脅之一。調查顯示，幾乎所有企業用戶(99%)都至少安裝了一個瀏覽器擴充套件，其中超過半數(52%)的員工擁有超過10個擴充套件，使得瀏覽器擴充套件成為影響幾乎每位企業員工的威脅。

更令人擔憂的是，53%的企業用戶安裝了具有「高」或「嚴重」風險權限的擴充套件，這些套件可以存取Cookies、密碼、網頁內容等敏感資料。相較於一般使用者，企業環境中的擴充套件權限更為危險。例如，雖然整體擴充套件中只有4.8%具有Cookie存取權限，但在企業環境中這個比例高達11%。同樣地，需要存取使用者身分資料的擴充套件在企業環境中占7.5%，遠高於整體平均的3.5%。

GenAI擴充套件成為新興安全威脅

隨著人工智慧工具的普及，GenAI擴充套件已成為企業面臨的新興威脅。報告發現，超過20%的企業用戶安裝了GenAI擴充套件，其中45%擁有多個GenAI擴充套件。這些AI驅動的工具通常能存取敏感資料，如身分資訊、Cookies和腳本權限，其權限等級是一般擴充套件的兩倍，58%的GenAI擴充套件具有「高」或「嚴重」風險權限。

更值得關注的是，GenAI擴充套件可能成為企業GenAI管控措施的「側門」，讓員工繞過網路層的GenAI存取控制，在組織不知情的情況下使用AI工具處理敏感資料。

開發者可信度成為安全黑洞

報告揭露，擴充套件開發者的可信度極難評估，成為企業安全的重大隱患。調查發現，54%的擴充套件開發者僅以免費電子郵件帳戶(如Gmail)作為身分識別，這意味著幾乎任何人都可以在公開商店上傳擴充套件而不透露真實身分。

此外，79%的開發者只發布過一個擴充套件，58%的擴充套件未發布隱私政策，22%的擴充套件存在時間不到180天。對於GenAI擴充套件而言，這個比例更高，有41%存在時間不足6個月。這意味著企業根本無法獲得足夠資訊來評估擴充套件的可信度。

LayerX安全研究團隊表示，「傳統上，我們關注擴充套件的權限範圍，但同樣重要的是評估開發者的可信度。然而，現實情況是，大多數擴充套件的開發者身分不明，發布歷史短暫，企業幾乎無法建立有效的信任評估機制。」

維護不足增加安全風險

報告也指出了擴充套件維護不足的普遍問題。超過半數(51%)的擴充套件在12個月內沒有收到任何更新，這不僅增加了軟體漏洞和供應鏈風險，也提高了擴充套件被惡意接管的可能性。

特別令人擔憂的是，25%的擴充套件已超過一年未更新，且其開發者僅以Gmail帳戶識別，這類「業餘」或「被遺忘」的擴充套件很可能已被開發者放棄維護，成為潛在的安全隱患。

面對這些安全威脅，LayerX建議企業資安長應採取全面的瀏覽器擴充套件安全策略。首先，企業需要對所有設備和瀏覽器進行完整的擴充套件盤點，了解組織內部的真實使用情況。接著，應該建立綜合風險評估機制，同時考慮擴充套件的權限範圍和開發者可信度。最後，企業應實施基於風險的自動化安全規則，主動封鎖或停用高風險擴充套件。

LayerX執行長表示：「傳統的安全防護措施往往忽略了瀏覽器擴充套件這個巨大的攻擊面。隨著混合辦公和數位化轉型的趨勢，瀏覽器已成為員工的主要工作界面，擴充套件安全將成為企業資安策略中不可忽視的一環。我們希望這份報告能喚起企業對這個被忽視威脅的重視。」