就在2026年1月,谷歌的Chrome浏览器里发现了一个叫CVE-2026-0628的大漏洞,这事儿可把帕洛阿尔托网络的Unit42研究团队给折腾坏了。原来啊,这个漏洞让一些坏心眼的扩展插件能随便乱动Chrome里那个叫GeminiLive的AI面板。正常情况下,GeminiLive跟浏览器深度集成,能给咱们截屏、看文件、开摄像头,可要是被坏人抓住了把柄,那就糟了。帕洛阿尔托网络的安全研究员Gal Weizman说了,“因为Gemini本来就是要执行合法操作的,这一劫持就让系统资源成了被随意访问的对象,而这本来是扩展程序不该有的本事。” 这就好比坏人能随便开你的摄像头、看你硬盘里的东西,甚至在AI面板里搞钓鱼诈骗。幸运的是,谷歌动作挺快,已经在1月份修复了这个问题。他们给Chrome推了143.0.7499.192和143.0.7499.193这两个新版本。虽然这事算是结了,但安全公司Gartner却对这种把AI功能跟核心软件搅和在一起的做法提出了批评。他们建议公司别用那些带深度系统钩子的智能体浏览器了,觉得这风险太大了。 这事儿也让人发现,犯罪分子现在也开始用生成式AI搞恶意软件了。今年2月就有个Android的坏家伙在运行时调用谷歌的Gemini模型来解读截图、自动操作设备。浏览器厂商这些年一直在想办法限制插件权限防着恶意软件窥探系统隐私,但加上AI助手后问题变得更复杂了。这也提醒我们在图方便的时候得多长个心眼儿,别让那些不该有的权限给坏人利用了。