שוק העבודה המודרני מתנהל בדפדפן, ולכן תוספי הדפדפן הפכו לחלק בלתי נפרד מהעבודה היומיומית. אבל בתוך הארגונים, השימוש הנרחב בתוספים, טומן סיכונים משמעותיים. לפי דו"ח של LayerX ב‑2025, כ‑99% מהמשתמשים הארגוניים מתקינים לפחות תוסף אחד, ו‑53% משתמשים בעשר הרחבות או יותר. מעל חצי מהן דורשות הרשאות גישה "גבוהות" או "קריטיות", ולעיתים אף כוללות גישה לעוגיות המשתמש, וזה עלול להוביל לגניבת זהויות, חטיפת סשנים וניצול פגיעויות אחרות. מול האיום המתפתח הזה, LayerX, חברת הסייבר הישראלית שמתמחה בהגנת דפדפנים, חוברת ל‑Google Chrome Enterprise ומשיקה אינטגרציה ישירה: מערכת ניתוח הסיכונים שפיתחה תופיע מעתה בתוך קונסולת הניהול של גוגל. 

החל מעכשיו, כל תוסף שמותקן בדפדפנים של העובדים בארגון יוצג עם ציון סיכון פרטני, בהתבסס על אלגוריתם שמנתח הרשאות, מידע על המפתח, התנהגות קוד, ונתוני שימוש בפועל. הטכנולוגיה של LayerX גם כוללת כלים לזיהוי קוד זדוני בתוך התוסף, גם כשמדובר בקוד מוסתר או מוטמע בתנאים מסוימים. הודות לאינטגרציה, מנהלי IT לא רק יראו את רמת הסיכון של כל תוסף, אלא גם יוכלו לגשת ישירות ל‑ExtensionPedia, מאגר טכני של LayerX עם פירוט מלא על כל הרחבה, כולל מפרסם, קוד פתוח, מוניטין היסטורי ודירוג מפורט.

פלטפורמת הדפדפן: מערכת ההפעלה החדשה של הארגון

ב‑LayerX מדגישים שהאתגר אינו בהכרח במידת הזדוניות של התוסף, אלא בעצם רמת הגמישות והיכולות של תוספים. כל תוסף, גם כזה שנראה מועיל, כמו עוזר כתיבה, מתזמן משימות או כלים לפיתוח קוד, עלול לכלול גישה רחבה מדי, מבלי שהמשתמש מודע לכך. כיוון שרוב התוספים מפותחים על ידי מפתחים קטנים או יחידים (ולרוב מדובר בתוסף אחד בלבד לכל מפתח), קשה לארגונים לאמוד את הסיכון בצורה מסודרת ללא כלים מתקדמים. 

פה נמצאת החדשנות בגישה של LayerX, שמספקת שקיפות מלאה ומאפשרת להגיב בזמן אמת, מבלי לפגוע בגמישות. השילוב עם גוגל נועד לאפשר לארגונים את "הטוב בשני העולמות": גם דפדפן מתקדם וגם אבטחה ברמה ארגונית, ללא פשרות. הכלים של LayerX כבר מוטמעים אצל לקוחות גדולים בתחומי הפיננסים, הבריאות, ההייטק והייעוץ, וכוללים גם ממשקי API ואוטומציות שיכולות להשתלב במערכות ניהול קיימות. לדברי מנכ"ל החברה, אור אשד, "החיבור הזה מאפשר לארגונים לקבל חוויית גלישה בטוחה באמת, מבלי להקריב את הפרודוקטיביות של העובדים. הארגונים מקבלים את הדפדפן הטוב ביותר עם ההגנה הטובה ביותר".

• גוגל מזנקת; שופט פדרלי: החברה לא צריכה למכור את כרום; מזנקת 8% במסחר המאוחר
• פרפלקסיטי מציעה 34.5 מיליארד דולר לרכישת דפדפן כרום מגוגל
• המלצת המערכת: כל הכותרות 24/7

בנוסף, עבור המשתמשים הפרטיים, המליץ אשד לבדוק הרשאות, לקרוא ביקורות, לבדוק את המפתח ולהסיר הרחבות לא הכרחיות. מספר דוגמאות שנתן לתוספים כאלה הם את Autoskip ל‑YouTube, Soundboost ו‑Crystal Ad Block, שנראו לגיטימיים והציעו שדרוגים לנוחות ולפונקציונליות הגלישה אך בפועל הכילו קוד מזיק שאסף מידע אישי, הזריק קוד מזיק, הפנה משתמשים לאתרים מתחזים ואפילו השתלט על הדפדפן. רבים מהם מוסווים ככלים מועילים, אך מנצלים את ההרשאות שהמשתמש מעניק, גם ללא כוונה. 

שאלות ותשובות 

איך תוספים מצליחים לגשת לשיחות עם AI?

רוב הכלים מבוססי הדפדפן — כמו ChatGPT ו‑Claude — מופיעים בתוך דף אינטרנט רגיל. תוספים יכולים "לקרוא" את הדף ולזהות את השיחה ממש כמו שהמשתמש רואה אותה.

• בזמן שמצמצתם: OpenAI שידרגה את יכולות עיבוד התמונה והמדעים של ChatGPT
• "החזון שלנו הוא להיות בכל קליניקה בעולם ולהציל חיים"
• תוכן שיווקי שוק הסקנדרי בישראל: הציבור יכול כעת להשקיע ב-SpaceX של אילון מאסק
• אקזיט ענק בסייבר - ארמיס תימכר ב-7 מיליארד דולר

האם תוספים חייבים לבקש הרשאות כדי לגשת לשיחה עם הבוט?

לא בהכרח. חלק מהתוספים פועלים עם הרשאות מינימליות, ובכל זאת מצליחים לגשת לתוכן רגיש על ידי שימוש ב‑DOM של הדף או בהקלטת הקלדות.

מה זה prompt injection, ולמה זה מסוכן?

מדובר בשיטה שבה תוסף או צד שלישי "מזריק" לתוך שיחה עם בינה מלאכותית הוראה סמוייה, שיכולה לגרום להדלפת מידע, ביצוע פעולות לא רצויות או עיוות התשובה שהמשתמש מקבל.

כיצד מערכת של LayerX מסייעת בזיהוי סיכונים?

היא מעניקה לכל תוסף ציון סיכון, לפי קריטריונים שמורכבים מהרשאות, התנהגות בפועל, היסטוריה, קוד פתוח או סגור, ועוד. הציון הזה מופיע ישירות בתוך ממשק הניהול של גוגל ארגוני.

מה ניתן לעשות כדי להגן על הארגון?

יש לקבוע מדיניות הרשאות ברורה, לחסום התקנה חופשית של הרחבות, להשתמש בכלים שמנטרים בזמן אמת את ההתנהגות של התוספים – ולבדוק כל הרחבה לפני התקנתה.

האם משתמש פרטי יכול לבדוק אם תוסף מסוים בטוח?

כן. אפשר להיעזר ב‑ExtensionPedia, הכלי של LayerX שמספק פרטים טכניים ומוניטין לכל תוסף כרום פופולרי.

מה המשמעות הכללית עבור ארגונים?

זהו תמרור אזהרה ברור: הדפדפן הפך לשער לעולם העבודה, וצריך להגן עליו כמו על כל תשתית רגיש. שיחה עם בוט AI היא לא צ'אט פרטי – אלא תיעוד רגיש שעלול לדלוף.

האם האיום הזה מתמקד רק ב‑ChatGPT?

לא. מדובר באיום רחב על כל כלי בינה מלאכותית שפועל מתוך הדפדפן – כולל Gemini, Copilot, Claude, ואחרים. כולם חשופים לאותה נקודת תורפה.

האם אפשר לחסום תוספים מסוימים מראש?

כן. עם שילוב הכלים של גוגל ו‑LayerX, אפשר להגדיר חסימות לפי סוג, שם, מקור, דירוג סיכון או התנהגות בפועל – ולבצע אכיפה רוחבית ברמת הארגון.