大多数人给Chrome装扩展,只是为了屏蔽广告、提高效率。但一组新披露的漏洞提醒我们:一个存在缺陷的插件,就能把整个浏览器变成劫持账号的入口。而且这类攻击往往不需要你点击任何可疑链接——仅仅是访问一个恶意网站就可能中招。
安全研究团队在2026年的多次协调披露中,反复点出一类问题:插件内部的权限代码和外部网页通信时,缺少严格验证。攻击者只要诱使受害者打开一个自己控制的页面,就可以绕过浏览器的同源策略,窃取会话令牌、调用插件暴露的高权限接口。这种情况下,就算你用的密码管理器、AI助手本身设计得再安全,一旦它的API被过度暴露,最坏的结果就是远程接管。
支持扩展的一方会说,Chrome 商店里有超过25万款扩展,覆盖65%的全球浏览器市场(StatCounter, 2026),它们是现代工作流不可或缺的部分。AI类扩展尤其受欢迎,因为它们需要读取页面内容、控制标签,天然拥有高级权限。反对者则指出,正是这些权限让它们成了攻击者的理想跳板。哪怕只有一款千万级安装量的插件爆出漏洞,影响面也极其惊人。而且研究人员发现,AI助手类产品是反复出现此类问题的重灾区。
我的判断是,两者都没错,但焦点错了。不该问“该不该装扩展”,而该问“装了之后怎么维护安全”。问题的核心不是放弃效率工具,而是把插件当作需要持续打补丁的微型应用来管理。从这个角度看,保护措施并不复杂:定期审计扩展权限清单,关闭不再使用或权限过大的插件;在所有关键账户上启用多因素认证,即使会话令牌被窃,也能大幅降低损失;最后,当浏览器或扩展的更新推送时,第一时间安装。这些步骤不能堵死所有攻击面,但足以让以自动化为生的攻击链条失效。
安全社区推动的协同披露机制,保证了这次的一批缺陷在利用代码大规模传播前就得到了修复。但威胁不会消失,只要扩展还在无痛获取高级权限,每个Chrome用户就需要保持“信任但验证”的警觉。毕竟,你的浏览器已经替你做太多事了,没必要让它再替攻击者也做一份。
热门跟贴