【安全资讯】Chrome Gemini Live AI面板漏洞被恶意扩展利用，可获取系统特权访问

概要：

近日，安全研究人员在Google Chrome浏览器中发现了一个高危漏洞，该漏洞允许恶意扩展程序劫持其内置的Gemini Live AI面板，并继承其本不应拥有的高级系统权限。这一发现凸显了将强大AI功能深度集成到核心软件中所带来的新型安全风险，可能对全球数以亿计的Chrome用户构成隐私和数据安全威胁。

主要内容：

该漏洞编号为CVE-2026-0628，由Palo Alto Networks旗下Unit 42团队的研究人员发现。漏洞根源在于Chrome处理扩展程序网络请求规则的机制存在缺陷。恶意扩展程序可以利用这一缺陷，拦截并篡改发往Gemini Live侧边面板的流量，从而将其自身的JavaScript代码注入到浏览器中受信任程度更高的部分。

Gemini Live并非普通的聊天机器人标签页，而是深度集成于Chrome中的交互式AI面板，被授权执行截图、读取本地文件、以及根据指令开启摄像头或麦克风等敏感操作。Unit 42的安全研究员Gal Weizman指出，劫持该面板意味着恶意扩展能够获得对系统资源的特权访问，这远远超出了常规扩展的权限范围。

利用此漏洞，攻击者无需复杂技术，仅凭拥有标准权限的恶意扩展，即可在用户不知情的情况下激活摄像头或麦克风、窃取本地文件、截取屏幕信息，甚至将钓鱼信息伪装成合法的Gemini面板内容。谷歌已于2026年1月初修复此漏洞，并通过稳定渠道更新推送了Chrome 143.0.7499.192/193桌面版补丁。

此事件是AI功能深度集成如何悄然改变浏览器威胁模型的又一例证。它警示业界，在追求便利性而赋予软件更多权限的同时，必须更加审慎地评估和控制潜在的安全边界，防止权限被恶意代码滥用，导致严重的隐私泄露风险。