关键词
漏洞
Palo Alto Networks研究人员发现谷歌Chrome浏览器漏洞(CVE-2026-0628),恶意扩展程序可利用该漏洞控制Gemini Live AI助手,实施用户监控并窃取敏感文件。
报告指出:”我们在Chrome新版Gemini功能实现中发现高危安全漏洞,攻击者可借此侵入浏览器环境并访问本地操作系统文件。具体而言,该漏洞允许拥有基础权限的恶意扩展劫持Chrome浏览器面板中的Gemini Live。”
Chrome侧边栏AI助手Gemini Live用于实时内容摘要、执行任务及理解网页上下文。作为”AI浏览器”核心组件,其深度集成带来便利的同时也产生风险。
该漏洞于Chrome 143版本修复。拥有declarativeNetRequests权限的恶意扩展可向Gemini面板注入JavaScript代码,而非仅限于标准Gemini标签页。由于面板是可信浏览器组件,劫持后可获得超越普通扩展的提权能力,包括访问本地文件、截图、摄像头和麦克风,无需用户额外授权即可实施钓鱼或监控。
研究人员向谷歌演示了普通扩展劫持Gemini面板后可执行的操作:实施钓鱼攻击、未经同意启动摄像头和麦克风、访问底层操作系统本地文件和目录、对HTTPS网站标签页截图。
基于扩展的攻击常被低估,但AI浏览器功能提升了风险等级。该漏洞于2025年10月23日负责任披露给谷歌,2026年1月初修复。报告结论称:”尽管AI浏览器功能可改善用户体验,持续监控潜在安全漏洞至关重要。”
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴