Chrome 瀏覽器近日修復一項編號為 CVE-2026-0628 的高危漏洞。該漏洞容許低權限插件入侵 Gemini「Live in Chrome」側欄面板,藉此奪取用戶相機、麥克風及本地文件存取權,甚至執行跨站點截圖或偽造釣魚介面。Google 已於一月發布補丁,專家呼籲用戶即時更新並監察異常系統行為。
即刻【按此】,用 App 睇更多產品開箱影片
Chrome 插件驚現高危漏洞 可奪取 Gemini 相機及文件存取權限
Google 旗下的 Chrome 瀏覽器近日被揭發存在一項高危安全漏洞(編號:CVE-2026-0628),該漏洞容許低權限的瀏覽器插件(Extensions)入侵 Gemini 「Live in Chrome」側欄面板,進而奪取用戶的相機、麥克風以及本地文件存取權限。
權限繼承機制成漏洞 側欄面板淪為入侵跳板
「Live in Chrome」是 Gemini 內嵌於 Chrome 瀏覽器的智能助理模式,具備讀取螢幕截圖、瀏覽本地文件及調用視訊通訊設備等高級權限,旨在協助用戶自動化執行任務。然而,保安研究人員發現,黑客可利用 declarativeNetRequest API 修改 gemini.google.com/app 在側欄加載時的流量。
由於該漏洞的存在,原本權限有限的插件能將惡意 JavaScript 程式碼植入具備高權限的 Gemini 組件中。一旦入侵成功,惡意程式即可在無需用戶再次授權的情況下,執行以下敏感操作:
AI 代理瀏覽器打破傳統安全邊界
傳統上,瀏覽器插件無法控制其他插件或核心組件。但隨著「AI 代理瀏覽器」(Agentic Browsers)的興起,如 Chrome 的 Gemini、Edge 的 Copilot 以及 Atlas、Comet 等,AI 助理為了提供總結網頁、填充表格及自動化流程等功能,必須擁有極廣泛的權限。
保安專家指出,這類 AI 助理往往能接觸用戶正在查看的所有內容,甚至包括電子郵件和通訊紀錄,使其成為攻擊者眼中極具價值的「指令中介」。是次漏洞反映了當 AI 助理打破長久以來的隔離邊界(Isolation Boundaries)時,插件濫用、提示詞注入以及針對受信任 UI 的釣魚攻擊將變得更加危險。
Google 已釋出修復補丁 建議用戶即時更新
針對此項漏洞,Google 已於 2026 年 1 月初發布修復更新。研究人員呼籲用戶確保 Chrome 瀏覽器已升級至最新版本,特別是經常使用「Live in Chrome」功能的用戶。
為確保系統安全,保安建議如下:
目前,相關漏洞已在最新版本中得到解決,用戶應檢查瀏覽器設定以確認已完成更新。
Source: ezone.hk、malwarebytes
【相關報道】
【相關話題】Microsoft Edge 爆極高風險漏洞「黑客正廣泛利用」!Windows 用戶必做 1 件事
Windows 用戶需要提高警覺!HKCERT 今日(20 日)緊急發布安全公告,證實 Microsoft Windows 內建瀏覽器 Microsoft Edge 出現多個「極高度風險」漏洞。當中最令網絡安全專家憂慮的是代號為 CVE-2026-2441 的漏洞,官方明確指出該漏洞正處於「廣泛被利用」的狀態,意味著黑客已經在網絡上展開攻擊,用戶隨時可能中招。
Source: ezone.hk