Chrome 发现严重漏洞:恶意扩展可劫持 Gemini 面板,实现跨权限摄像头与文件访问
核心事件
2026年3月4日,安全研究人员在Google Chrome浏览器中发现一个被标记为 CVE-2026-0628 的严重安全漏洞。该漏洞允许恶意浏览器扩展程序劫持内置的Gemini Live AI面板,从而获取本应受限制的系统级权限。
漏洞详情
- 发现者:Palo Alto Networks旗下Unit 42部门的研究人员。
- 攻击原理:恶意插件可操纵浏览器处理侧边栏请求的方式,绕过Chrome的安全保护机制。成功劫持Gemini面板后,恶意扩展能“继承”AI助手的高级权限。
- 潜在危害:
- 激活摄像头或麦克风。
- 读取本地敏感文件。
- 捕获屏幕截图。
- 在看似合法的对话框内嵌入网络钓鱼邮件。
安全专家观点
安全研究员Gal Weizman指出:“由于Gemini应用程序依赖执行合法操作,劫持此面板可使扩展程序访问通常无法触及的系统资源。” 这凸显了将AI深度集成到浏览器核心时,攻击面扩大的风险——曾经受限制的插件,现在可利用AI功能中的漏洞实现权限跃升。
修复与应对
- 修复状态:谷歌已在2026年1月初发布的稳定版更新中修复此漏洞。
- 用户行动:受影响用户应确保将Chrome浏览器升级至 143.0.7499.192 或更高版本。
行业反思与警示
此次事件引发了行业对“AI助手权限过高”的担忧。此前,研究机构Gartner曾建议组织避免使用与系统深度连接的“代理”浏览器,认为AI驱动自动化带来的生产力提升,可能无法抵消其带来的深层系统风险。
关键要点总结
- 权限提升风险:恶意扩展可利用CVE-2026-0628漏洞劫持Gemini面板,非法访问摄像头、麦克风及本地文件。
- 补丁已发布:谷歌已在143.0版本中紧急修复漏洞,用户应及时更新以进行防护。
- AI集成风险:将AI助手深度嵌入系统核心,正在改变浏览器的威胁模型。平衡便利性与安全性已成为新挑战。
