Chrome的AI功能成为安全弱点

安全研究人员发现谷歌Chrome存在一个令人不安的漏洞，使其有用的AI助手可能变成间谍工具。该漏洞编号为CVE-2026-0628，通过Gemini Live面板为恶意扩展程序提供了访问敏感系统资源的后门。

攻击原理

攻击始于用户安装看似无害的扩展程序。这些恶意程序操纵Chrome处理侧边栏请求的方式，绕过正常安全检查。一旦控制Gemini界面（本用于协助用户），它们就能继承其提升的权限。

"这就像把家门钥匙交给窃贼一样"，Palo Alto Networks Unit 42团队的Gal Weizman解释道："由于Gemini需要合法访问才能正常运行，黑客可以搭便车利用这些权限"

后果令人不寒而栗：未经授权的摄像头激活、秘密麦克风录音、无限制文件访问，甚至伪装成友好AI对话的网络钓鱼尝试。

补丁已发布

谷歌在1月更新(版本143.0.7499.192)中迅速修复了此安全漏洞。尚未更新浏览器的用户应立即行动——这种漏洞不容在设备上滞留。

该事件引发了网络安全专业人士关于平衡便利性与保护性的讨论。随着浏览器发展为具有集成AI功能的完整操作系统，它们正成为攻击者更有吸引力的目标。

更广泛的启示

行业分析师此前已警告过这些风险。研究机构Gartner曾对"代理"浏览器与系统操作过度交织提出警示。虽然AI功能承诺提高生产力，但它们可能造成安全隐患超过其收益。

Chrome事件敲响了警钟：每项新技术进步都带来我们必须预见和防范的新漏洞。

关键点：

• 关键权限授予：恶意扩展程序可通过劫持Gemini Live面板绕过正常限制
• 多重隐私风险：成功攻击可实现摄像头/麦克风激活及本地文件访问
• 补丁部署：升级至Chrome 143.0或更高版本可关闭此安全漏洞
• AI集成隐忧：深度系统连接创造了需要仔细评估的新攻击面