%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%23061b40;%20}%20.st1%20{%20fill:%20%23306af1;%20}%20.st2%20{%20fill:%20%235ce5cf;%20}%20%3c/style%3e%3c/defs%3e%3cg%3e%3cpath%20class='st0'%20d='M55,10.5h9v3h-9v9h12V7.5h-12v3ZM64,19.5h-6v-3h6v3Z'/%3e%3cpolygon%20class='st0'%20points='69%2016.5%2078%2016.5%2078%2019.5%2069%2019.5%2069%2022.5%2081%2022.5%2081%2013.5%2072%2013.5%2072%2010.5%2081%2010.5%2081%207.5%2069%207.5%2069%2016.5'/%3e%3cpolygon%20class='st0'%20points='95%2010.5%2095%207.5%2083%207.5%2083%2022.5%2095%2022.5%2095%2019.5%2086%2019.5%2086%2016.5%2095%2016.5%2095%2013.5%2086%2013.5%2086%2010.5%2095%2010.5'/%3e%3cpath%20class='st0'%20d='M40,1.5v21h11.6l1.4-1.4v-7.6h0c0,0-1.4-1.5-1.4-1.5l1.4-1.4V2.9l-1.4-1.4h-11.6ZM50,19.5h-7v-6h7v6ZM50,10.5h-7v-6h7v6Z'/%3e%3c/g%3e%3cpath%20class='st1'%20d='M23.1,24L14.7,4.8l-4.9,11.2h3.8l-1.8,4H3.3L12.1,0H2C.9,0,0,.9,0,2v20c0,1.1.9,2,2,2h21.1Z'/%3e%3cpath%20class='st2'%20d='M34,0h-16.8l10.6,24h6.2c1.1,0,2-.9,2-2V2C36,.9,35.1,0,34,0ZM32.5,20h-4V4h4v16Z'/%3e%3c/svg%3e)
隨着 AI 功能深度集成至瀏覽器底層,全新的安全威脅也隨之浮現。據安全專家近期在谷歌 Chrome 瀏覽器中發現了一個編號爲 CVE-2026-0628 的嚴重漏洞。該漏洞允許惡意擴展程序劫持內置的 Gemini Live AI 面板,從而獲取原本被禁止的系統級權限。
該漏洞由 Palo Alto Networks 旗下的 Unit 42 研究人員發現。調查顯示,惡意插件可以操縱瀏覽器處理側邊欄請求的方式,繞過 Chrome 的安全防護機制。一旦成功劫持 Gemini 面板,惡意擴展就能“繼承”AI 助手擁有的高級特權,包括開啓攝像頭或麥克風、讀取本地敏感文件、抓取屏幕截圖,甚至在看似合法的對話框中植入釣魚郵件。
“由於 Gemini 應用程序依賴於執行合法操作,劫持該面板可以讓擴展程序獲得通常無法觸及的系統資源訪問權,”安全研究員 Gal Weizman 指出。這凸顯了將 AI 深度集成到瀏覽器核心後,攻擊面隨之擴大的風險——原本受限的插件只需觸碰 AI 功能的漏洞,即可實現權限的飛躍。
谷歌已於 1 月初在穩定版更新中修復了此漏洞。受影響的用戶應確保 Chrome 瀏覽器已升級至 143.0.7499.192 或更高版本。
此次事件也引發了行業對“AI 助手權限過大”的擔憂。研究機構 Gartner 此前就曾建議組織避免使用深度連接系統的“代理”瀏覽器,認爲 AI 驅動的自動化帶來的生產力提升,可能無法抵消其帶來的深度系統風險。
劃重點
🛡️ 權限提升風險:惡意擴展利用 CVE-2026-0628 漏洞可劫持 Gemini 面板,非法調用攝像頭、麥克風及讀取本地文件。
🛠️ 補丁已發佈:谷歌已在 143.0 版本中緊急修復該漏洞,用戶需及時更新以受保護。
⚠️ AI 集成隱憂:將 AI 助手深度嵌入系統底層正在改變瀏覽器的威脅模型,如何平衡便捷性與安全性成爲新課題。