تقرير جديد حول أمن المتصفح يكشف عن تهديدات متصاعدة تستهدف المؤسسات

كشف تقرير أمن المتصفح لعام 2025 (Browser Security Report 2025) عن تحول جذري في خريطة المخاطر المؤسسية، إذ باتت معظم تهديدات الهوية والخدمات السحابية (SaaS) والذكاء الاصطناعي تتلاقى في نقطة واحدة: المتصفح. ومع ذلك، لا تزال الأدوات التقليدية مثل DLP وEDR وSSE تعمل في طبقة أدنى من موقع التهديد الفعلي.

فالمخاطر الجديدة لم تعد مجرد “ثغرة غير مرئية”، بل تحولت إلى سطح تهديد موازٍ: إضافات غير مُدارة تعمل كغرسات في سلاسل التوريد، وأدوات ذكاء اصطناعي تُستخدم عبر حسابات شخصية، وبيانات حساسة تُلصق مباشرة في حقول الأوامر (prompts)، وجلسات دخول تتجاوز المصادقة الأحادية (SSO) بالكامل.

الذكاء الاصطناعي التوليدي: قناة التسريب الأولى للبيانات

أظهر التقرير فجوة حوكمة ضخمة سببها انتشار أدوات الذكاء الاصطناعي التوليدي (GenAI) في بيئات العمل المؤسسية. فحوالي نصف الموظفين يستخدمون أدوات GenAI، ومعظمهم عبر حسابات شخصية خارج نطاق رؤية فرق تكنولوجيا المعلومات.

أبرز الإحصاءات:

77% من الموظفين ينسخون بيانات إلى أدوات GenAI.
82% من تلك العمليات تتم عبر حسابات شخصية.
40% من الملفات المرفوعة تحتوي على بيانات شخصية أو مالية حساسة (PII / PCI).
GenAI يمثل 32% من إجمالي حركة البيانات من المؤسسات إلى الحسابات الشخصية.

لم تُصمم أدوات DLP التقليدية لرصد هذا النوع من التسريبات، وبات المتصفح القناة الرئيسة لتهريب البيانات عبر النسخ واللصق دون رقابة أو سياسات أمان.

المتصفحات الذكية بالذكاء الاصطناعي: سطح تهديد جديد

يشير التقرير إلى بروز جيل جديد من المتصفحات المعززة بالذكاء الاصطناعي مثل Atlas من OpenAI، وArc Search، وPerplexity Browser، والتي تدمج نماذج لغوية ضخمة مباشرة داخل طبقة التصفح. هذه المتصفحات قادرة على قراءة الصفحات وتلخيصها وتحليلها لحظيًا، ما يوفر للمستخدمين تجربة متقدمة، لكنه يخلق في المقابل سطح هجوم غير مراقب تمامًا.

تشمل المخاطر:

تسرب الذاكرة داخل الجلسة نتيجة التخصيص المدعوم بالذكاء الاصطناعي.
إرسال محتوى الصفحات تلقائيًا إلى نماذج خارجية.
مشاركة ملفات تعريف الارتباط (cookies) بين الحسابات، مما يفتح باب الاختراق.

وبغياب سياسات مؤسسية حاكمة، تصبح هذه المتصفحات “مساعدين دائمين” يرون كل ما يراه الموظف ويعالجونه في السحابة دون إشراف أو قيود.

إضافات المتصفح: سلسلة توريد غير مُدارة

كشف التقرير أن 99% من مستخدمي المؤسسات يمتلكون على الأقل إضافة واحدة في متصفحاتهم، وأكثر من نصف هذه الإضافات تمنح صلاحيات عالية الخطورة. كما تبين أن:

26% من الإضافات يتم تثبيتها يدويًا (sideloaded).
54% منها نُشرت بواسطة حسابات Gmail غير موثقة.
51% لم تُحدّث منذ أكثر من عام.
6% من الإضافات المتعلقة بالذكاء الاصطناعي مصنفة كخبيثة.

ويصف التقرير هذا الواقع بأنه سلسلة توريد برمجية غير مُدارة مزروعة في كل محطة عمل داخل المؤسسة.

الحوكمة الهوياتية تنتهي عند المزوّد… والمخاطر تبدأ في المتصفح

وفقًا للتقرير، تحدث 68% من عمليات تسجيل الدخول دون SSO، ويُستخدم في 43% منها حسابات شخصية. كما تبين أن 26% من المستخدمين يعيدون استخدام كلمات المرور ذاتها عبر حسابات متعددة، فيما تصل 8% من الإضافات إلى هويات المستخدمين أو بياناتهم المخزّنة في ملفات الارتباط.

تؤكد الهجمات مثل Scattered Spider أن المتسللين باتوا يستهدفون رموز الجلسات (session tokens) بدلًا من كلمات المرور، ما يجعل المتصفح نقطة الدخول المثالية للهجوم.

أدوات المراسلة وSaaS: تسريب صامت داخل المتصفح

انتقل تسريب البيانات من الملفات المرفوعة إلى عمليات النسخ واللصق داخل التطبيقات السحابية وأدوات المحادثة. وقد أظهر التقرير أن:

62% من عمليات اللصق داخل تطبيقات المراسلة تتضمن بيانات حساسة.
87% منها تتم عبر حسابات غير مؤسسية.
المستخدم الواحد ينسخ في المتوسط 4 مقاطع حساسة يوميًا إلى أدوات خارجية.

في حوادث مثل تسريب Rippling/Deel، لم يكن الاختراق عبر برمجيات خبيثة أو تصيّد، بل عبر تطبيقات محادثة غير مراقبة تعمل داخل المتصفح.

الحاجة إلى نموذج أمني جديد

لم تُصمم أدوات الأمن التقليدية لرؤية هذا المستوى من النشاط:

أدوات EDR تراقب العمليات،
وأدوات SSE تتابع حركة الشبكة،
وDLP تفحص الملفات فقط.

لكن لا أحد منها يرى ما يحدث داخل الجلسة: أي البيانات تُلصق، وأي الإضافات تُحقن، وأي الحسابات تُستخدم. وهنا يدعو التقرير إلى اعتماد ضوابط أمنية أصلية داخل الجلسة (Session-Native Controls) توفر رؤية آنية دون تعطيل تجربة المستخدم.

تشمل هذه الضوابط: