问题—— 网络安全公司Palo Alto Networks旗下Unit 42团队于3月2日发布研究报告称,谷歌Chrome浏览器被发现存在一项高危漏洞,编号CVE-2026-0628。漏洞出现在Chrome与“Gemini”涉及的的功能面板:在特定条件下,攻击者可借助扩展程序向面板内容注入脚本,从而在用户几乎不察觉的情况下执行恶意操作。 原因—— 报告指出,风险链条的关键在于扩展可调用的“声明式网络请求”接口。该接口原用于广告拦截、内容过滤等场景,允许扩展拦截、阻断或改写网络请求。但研究人员发现,一旦扩展被植入恶意规则,就可能通过操控请求,把恶意脚本带入Gemini面板的渲染环境,形成代码注入。更需要注意的是,该面板具备读取本地文件、调用摄像头与麦克风、屏幕截取等更高权限能力。脚本一旦进入面板,可能出现“低权限入口触发高权限能力”的放大效应,打破用户对扩展权限边界的直观认知。 影响—— 该漏洞的风险不局限于传统网页攻击:其一,攻击者可能在缺少明显交互提示的情况下进行持续监控,隐蔽采集用户行为与环境信息;其二,可能读取并外传本地敏感文件,造成个人隐私、商业资料乃至机构数据泄露;其三,还可能利用用户信任的面板界面实施钓鱼诱导,在看似官方的交互中套取账号口令或引导转账,隐蔽性与迷惑性更强。鉴于Chrome的广泛使用,一旦被规模化利用,风险将波及个人用户、企业终端及供应链安全。 对策—— 研究团队表示,已于2025年10月23日向谷歌提交漏洞细节,并按负责任披露流程预留修复时间。谷歌随后完成复现,并在2026年1月初发布补丁修复。业内建议用户与机构尽快将Chrome更新至已修复版本,并加强扩展治理:一是控制扩展来源,避免安装来历不明或口碑异常的扩展;二是定期清理不必要扩展,减少攻击面;三是核对扩展权限与功能是否匹配,警惕“功能轻、权限重”的可疑扩展;四是企业可通过终端管理策略限制扩展安装,启用白名单,并结合日志审计与异常流量监测,及时发现可疑请求改写和数据外传迹象。 前景—— 随着浏览器功能不断向更强的系统能力延伸,扩展生态与内置面板、智能助手等组件的耦合加深,安全边界也变得更复杂。此次事件显示,当网络请求拦截能力与高权限面板叠加时,可能在设计与审核环节暴露新的薄弱点。未来,浏览器厂商在推进功能集成的同时,需要更强化最小权限与能力隔离机制,更严格约束扩展可影响的渲染环境,并提升对异常规则与脚本注入的自动化检测。对用户与机构而言,及时更新与精细化权限管理应成为长期措施,而非临时补救。
此次安全事件再次提醒,数据防护不能因便利而放松;在享受新功能带来的效率提升时,如何在开放性与安全性之间取得平衡,是开发者与用户都必须面对的问题。专家建议完善扩展程序审核与监管,同时提醒普通用户提高安全意识,从更新补丁、管理扩展到审视权限申请,减少被利用的机会。随着量子加密、行为验证等技术发展,浏览器安全架构也可能迎来新的演进方向。