Bekvämligheten med AI har visat sig ha en mörk baksida för nästan en miljon Chrome-användare. Säkerhetsexperter vid OX Security avslöjade i slutet av december 2025 att två populära webbtillägg i hemlighet spelade in privata konversationer. Informationen skickades sedan vidare till externa servrar.
Forskare vid Secure Annex kallar detta nya fenomen för Prompt Poaching. Angripare riktar in sig specifikt på de känsliga frågor och företagshemligheter som matas in i verktyg som ChatGPT.
Bedrägliga tillägg lurade Google
De två verktygen i centrum för utredningen heter ”Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI” samt ”AI Sidebar with Deepseek, ChatGPT, Claude and more”. Tillsammans har de installerats nästan en miljon gånger. Dessa tillägg var designade för att se ut som det legitima verktyget AITOPIA. Den professionella fasaden var så övertygande att ett av tilläggen till och med lyckades få en utmärkelse från Google som rekommenderat innehåll.
Så går datastölden till
Stölden påbörjas omedelbart efter installationen. Programvaran ber om tillåtelse att samla in anonym analysdata. Så fort användaren godkänner begäran försvinner anonymiteten.
Programmet använder en teknik för att läsa texten direkt från skärmen. Den skadliga koden aktiveras när användaren besöker sidor som chatgpt.com eller deepseek.com. Varje halvtimme samlas både användarens frågor och botens svar ihop för att skickas till servrar kontrollerade av angriparna. Även inloggningsuppgifter och autentiseringsdata stjäls i processen. Detta innebär att allt från personlig sökhistorik till hemlig programkod och affärsstrategier hamnar i fel händer.
Kontrollera dina webbtillägg nu
Trots att hoten rapporterades till Google fanns båda tilläggen kvar för nedladdning i början av januari 2026. Du bör omedelbart kontrollera dina inställningar i webbläsaren om du använder någon form av AI-sidopanel.
Var extra vaksam på tillägg som ber om full tillgång till att läsa och ändra data på de webbplatser du besöker. Denna händelse visar hur lätt förtroendet kan skadas när säkerhetskontroller inte hinner med i den snabba utvecklingen. Det säkraste är att hålla antalet tillägg till ett minimum och vara mycket försiktig med vilken information som delas med AI-verktyg som körs direkt i webbläsaren.
Så kontrollerar du dina webbtillägg i Chrome
Det är viktigt att agera snabbt om du misstänker att du har installerat ett skadligt tillägg. Här är instruktionerna för hur du hittar de unika id-numren och tar bort programvaran.
Steg för steg för att hitta id-nummer
Öppna din webbläsare och skriv in adressen chrome://extensions i adressfältet. Du ser nu en lista över alla tillägg som finns i din webbläsare. Varje tillägg har en ruta med information och en knapp som heter Detaljer.
Klicka på knappen för det tillägg du vill granska. I webbläsarens adressfält ser du nu en lång sträng med slumpmässiga bokstäver i slutet av webbadressen. Detta är tilläggets unika id. Jämför de bokstäverna med de identifierade hoten nedan:
-
fnmihdojmnkclgjpcoonokmkhjpjechg
-
inhcgfpbfdjbjogdfjbclgolkmhnooop
Ta bort skadlig kod omedelbart
Hittar du någon av dessa strängar bör du omedelbart klicka på Ta bort. Det räcker inte att bara stänga av tillägget då den skadliga koden fortfarande kan finnas kvar i systemet.
Var även uppmärksam på andra tillägg som kräver behörighet att läsa och ändra all din data på alla webbplatser. Denna behörighet ger tillägget möjlighet att se exakt vad du skriver i dina chattar med AI tjänster. Det är alltid säkrast att endast behålla de tillägg som är absolut nödvändiga för ditt arbete.
Skydda dina konton efter en säkerhetsincident
När du har tagit bort ett skadligt tillägg räcker det inte alltid med att bara radera själva programmet. Angriparna kan ha kommit över så kallade sessionstoken, vilket gör att de kan förbli inloggade på dina konton även efter att tillägget är borta.
Rensa webbinformation och cookies
Först bör du rensa din webbhistorik och dina cookies. Tryck på de tre prickarna uppe till höger i Chrome och välj Fler verktyg följt av Ta bort webbinformation. Välj tidsintervallet Sedan tidens början och se till att rutan för Cookies och andra webbplatsdata är ikryssad. Detta tvingar webbläsaren att kasta ut alla aktiva sessioner, vilket innebär att eventuella stulna tokens blir värdelösa.
Detta steg loggar ut dig från de flesta webbplatser. Det är en nödvändig åtgärd för att säkerställa att ingen obehörig fortfarande har åtkomst till dina konton via gamla anslutningar.
Byt lösenord på känsliga tjänster
Eftersom de skadliga tilläggen kan ha läst allt du skrivit bör du prioritera att byta lösenord på de tjänster du har använt medan tilläggen var aktiva. Fokusera i första hand på:
-
AI-tjänster som ChatGPT, Claude och DeepSeek.
-
E-postkonton och banktjänster.
-
Företagstjänster där du kan ha matat in känslig kod eller strategier.
När du byter lösenord bör du även kontrollera att tvåfaktorsautentisering är aktiverat. Detta ger ett extra lager av säkerhet om någon skulle försöka logga in med dina uppgifter i framtiden.
Läs mer
Trött på att bli spårad? Testa LibreWolf – säkrare än Firefox och helt gratis
