帕洛阿尔托网络公司旗下 Unit42 安全团队近日披露,谷歌 Chrome 浏览器内置的智能交互面板存可被恶意利用的安全缺陷,漏洞编号为 CVE-2026-0628。该发现再次让业界将目光聚焦到新功能带来的安全风险上。 据研究人员介绍,Chrome 的智能交互面板具备屏幕截取、本地文件读取,以及调用摄像头和麦克风等系统级权限。这些能力在正常场景下用于提升使用便捷性,但一旦被恶意程序掌控,风险将迅速放大。Unit42 研究员指出,恶意扩展可通过操控浏览器对嵌入式面板请求的处理流程,利用 Chrome 在扩展网络规则处理上的设计缺陷,拦截并篡改数据流量,从而获取本不应具备的系统访问能力。 这种攻击方式的危险之处在于隐蔽且影响面广。攻击者可在用户不易察觉的情况下,借助看似正常的智能面板界面开展监控行为,例如开启摄像头和麦克风进行窃听窃照、读取本地文件获取敏感信息,甚至插入钓鱼内容诱导用户更泄露数据。由于这些行为依托合法功能调用,传统安全防护往往难以及时识别和阻断。 从技术角度看,问题指向浏览器对新型智能能力的安全防护仍不够成熟。近年来,浏览器厂商持续收紧扩展程序权限以降低风险,但随着智能助手等功能引入,系统架构更复杂,原有安全边界发生变化,攻击面随之扩大。研究人员强调,在特定系统设计缺陷下,原本“常规”的扩展行为可能获得超预期的破坏能力,这也反映出功能创新与安全保障之间的现实张力。 谷歌已在今年 1 月初发布安全补丁,并在 Chrome 143.0.7499.192 及 143.0.7499.193 桌面版本中完成修复。尽管修复动作迅速,但事件暴露的结构性问题仍值得重视。Gartner 在涉及的报告中建议,组织机构在部署具备自动化能力的智能浏览器功能时应保持谨慎,系统评估智能驱动的自动化操作可能引入的安全风险,避免只关注效率提升而忽略潜在威胁。 值得关注的是,攻击者对新技术的吸收正在加快。今年 2 月,安全研究人员发现一款针对移动设备的恶意软件,可调用智能模型解读屏幕截图并自动执行设备操作。这表明,犯罪分子也在将新兴技术快速整合进攻击工具,网络安全面临新的变量与压力。 业内专家指出,现有防护体系需要跟上技术演进。一上,软件开发商引入新功能时应同步加强安全设计,完善更严格的权限管理与隔离机制,避免智能能力成为薄弱点;另一上,用户应提升安全意识,谨慎安装来源不明的扩展程序,及时更新补丁与版本,降低被攻击的可能性。
技术进步带来便利,也在重塑安全边界。此次漏洞虽已修复,但更重要的提醒在于:当浏览器被赋予更强的系统能力时,隔离与权限设计中的任何疏漏都可能被放大为真实风险。只有将“最小权限、强隔离、可审计、可追溯”的原则贯穿产品设计与使用管理全流程,才能在体验提升与安全保障之间取得更稳妥的平衡。