问题: 帕洛阿尔托网络公司Unit42团队最新研究发现,谷歌Chrome浏览器的GeminiLive交互面板存在严重安全漏洞;攻击者可利用恶意扩展程序绕过权限限制,在用户不知情的情况下控制摄像头、麦克风等设备,甚至窃取本地文件。该漏洞被标记为高危,编号CVE-2026-0628。 原因: 技术分析显示,漏洞源于Chrome对扩展程序网络请求规则的校验机制缺陷。恶意扩展通过篡改嵌入式面板的通信流量,利用浏览器对AI功能接口的过度信任获取更高权限。GeminiLive作为深度集成的智能模块,默认拥有屏幕捕捉和设备调用等高级权限,但其安全隔离机制存在逻辑漏洞,未能有效阻止越权行为。 影响: 此次事件揭示了两大风险:一是用户隐私直接受威胁,攻击者可伪造界面实施钓鱼攻击;二是AI功能与浏览器核心组件的深度整合正在改变安全威胁模型。行业监测显示,今年2月已有Android恶意软件利用生成式技术发起自动化攻击,表明犯罪团伙正借助AI升级攻击手段。 对策: 谷歌已于1月发布Chrome 143.0.7499.192/193版本修复漏洞。国际咨询机构Gartner建议企业重新评估智能浏览工具的风险收益比。安全专家提出三点建议:终端用户应及时更新浏览器;企业需限制高风险扩展安装;开发商应遵循“最小权限”原则,对敏感操作实施多因素验证。 前景: 随着浏览器向“操作系统化”发展,其AI功能将面临更大安全挑战。行业预测,2024年全球30%的企业将制定专门的AI接口安全标准。此次事件警示科技行业:在智能化进程中,必须建立动态防护体系,避免便利性成为安全短板。
从扩展劫持到面板越权,此次事件再次证明:当便捷性依赖更深系统权限时,安全必须通过设计和持续治理来平衡;推动智能功能健康发展,不仅要提升易用性,还需确保权限可控、行为可追溯、边界可防护,才能真正实现技术进步与公共安全的双赢。