最近谷歌Chrome浏览器出现了个大问题,被黑客给盯上了。帕洛阿尔托网络公司的Unit 42研究团队发现了一个高危漏洞,编号是CVE-2026-0628。这个漏洞让恶意扩展能劫持Gemini Live AI面板,获得它不该有的特权。 Gemini Live面板是Chrome自带的交互式AI功能,虽然平时用起来很方便,但是它和浏览器的联系很深,比如能截图、读取本地文件、启动摄像头什么的。正常使用没问题,可要是被恶意扩展给利用了,那权限可就大了去了。 研究人员发现,恶意扩展是通过操控浏览器处理Gemini Live侧边面板请求的方式来钻空子的。Chrome在处理扩展网络规则上有个漏洞,让普通权限的插件能拦截流量、篡改请求,然后把自己的Java代码注入到更受信任的部分。这样一来,恶意扩展就有了浏览器的核心权限。 帕洛阿尔托网络公司的安全研究员Gal Weizman说,因为Gemini应用需要执行合法操作,所以劫持这个面板能让系统资源都被访问到,这本来是不该给普通扩展的能力。 现在谷歌已经把这个漏洞给修好了,1月份发布了补丁。大家只要把Chrome更新到143.0.7499.192或者143.0.7499.193这两个版本就行。这个漏洞在Unit 42公开前就修好了,用最新版的人都没事。 不过这事儿也说明把AI功能和核心软件深度集成可能会改变浏览器的安全模型。这个消息传出来的时候,分析公司Gartner就建议企业别用那种智能体浏览器了,觉得风险太大了。 二月份研究人员还发现了Android恶意软件调用Gemini模型的情况。看来犯罪分子也在利用AI搞事呢。 这些年浏览器厂家一直在想办法限制扩展权限,防止一个恶意软件就能窥探系统。可是加上能读文件、用摄像头的AI助手后情况就更复杂了。 这次漏洞提醒大家:为了方便赋予软件更多权力的时候,得小心谁会利用这些权力去搞破坏。