Chrome 发现关键漏洞：恶意插件能够控制 Gemini 接口，滥用摄像头及文件权限

发布时间：2026-03-04 11:11:40 | 责任编辑：吴昊 | 浏览量：6 次

随着 AI 功能深度集成至浏览器底层，全新的安全威胁也随之浮现。据安全专家近期在谷歌 Chrome 浏览器中发现了一个编号为 CVE-2026-0628 的严重漏洞。该漏洞允许恶意扩展程序劫持内置的 Gemini Live AI 面板，从而获取原本被禁止的系统级权限。
该漏洞由 Palo Alto Networks 旗下的 Unit 42 研究人员发现。调查显示，恶意插件可以操纵浏览器处理侧边栏请求的方式，绕过 Chrome 的安全防护机制。一旦成功劫持 Gemini 面板，恶意扩展就能“继承”AI 助手拥有的高级特权，包括开启摄像头或麦克风、读取本地敏感文件、抓取屏幕截图，甚至在看似合法的对话框中植入钓鱼邮件。
“由于 Gemini 应用程序依赖于执行合法操作，劫持该面板可以让扩展程序获得通常无法触及的系统资源访问权，”安全研究员 Gal Weizman 指出。这凸显了将 AI 深度集成到浏览器核心后，攻击面随之扩大的风险——原本受限的插件只需触碰 AI 功能的漏洞，即可实现权限的飞跃。
谷歌已于 1 月初在稳定版更新中修复了此漏洞。受影响的用户应确保 Chrome 浏览器已升级至 143.0.7499.192 或更高版本。
此次事件也引发了行业对“AI 助手权限过大”的担忧。研究机构 Gartner 此前就曾建议组织避免使用深度连接系统的“代理”浏览器，认为 AI 驱动的自动化带来的生产力提升，可能无法抵消其带来的深度系统风险。
🛡️ 权限提升风险：恶意扩展利用 CVE-2026-0628 漏洞可劫持 Gemini 面板，非法调用摄像头、麦克风及读取本地文件。
🛠️ 补丁已发布：谷歌已在 143.0 版本中紧急修复该漏洞，用户需及时更新以受保护。
⚠️ AI 集成隐忧：将 AI 助手深度嵌入系统底层正在改变浏览器的威胁模型，如何平衡便捷性与安全性成为新课题。