Chrome与Gemini漏洞可致攻击者远程访问摄像头与麦克风
该漏洞由Palo Alto Networks旗下Unit 42的研究人员发现,并于2025年10月23日向谷歌报告。谷歌确认问题后于2026年1月5日发布补丁。 高危漏洞曝光谷歌Chrome浏览器内
这一安全漏洞由Palo Alto Networks旗下Unit 42团队的研究人员率先发现,并于2025年10月23日向谷歌提交了详细报告。经过谷歌技术团队验证后,于2026年1月5日发布了官方修复补丁。
高危漏洞浮出水面
谷歌Chrome浏览器内置的Gemini AI助手被曝存在高危安全缺陷(编号CVE-2026-0628)。攻击者无需用户进行任何额外操作,只要用户启用了浏览器内置的AI功能面板,就能直接获取摄像头与麦克风的未授权访问权限、窃取本地敏感文件,并实施网络钓鱼攻击。
该漏洞最初由Palo Alto Networks公司Unit 42安全团队发现,并于2025年10月向谷歌提交技术报告。谷歌在确认问题存在后,经过三个月开发测试,最终于2026年1月初发布了安全更新。

权限架构扩大攻击面
Chrome中的Gemini Live功能属于"AI浏览器"这一新兴类别,此类浏览器将AI助手深度集成至浏览环境。这些AI助手(包括Edge浏览器中的Microsoft Copilot,以及Atlas、Comet等独立产品)以特权侧边栏形式运行,能够实现实时网页摘要提取、任务自动化处理和智能浏览辅助等功能。
由于这些AI面板需要"多模态"视觉支持才能有效运作,Chrome赋予了Gemini面板提升的系统权限,包括摄像头调用、麦克风访问、本地文件读取和屏幕截图能力。这种特权架构虽然实现了强大的功能特性,但也显著扩大了浏览器的潜在攻击范围。
漏洞技术细节解析
该漏洞存在于Chrome处理declarativeNetRequest API的过程中,这是一个标准的浏览器扩展权限,允许扩展程序拦截和修改HTTPS网络请求及响应。该API被广泛应用于广告拦截等合法场景。
研究人员发现,Chrome在处理特定Gemini服务请求时存在关键差异:当该URL在普通浏览器标签页加载时,扩展程序可以拦截并注入JavaScript代码,但这不会授予任何特殊权限;而当同一URL在Gemini浏览器面板中加载时,Chrome会以提升的浏览器级权限进行处理。
利用这种处理机制的不一致性,仅具备基本权限的恶意扩展即可向特权Gemini面板注入任意JavaScript代码,从而劫持受信任的浏览器组件并继承其所有提升的访问权限。
攻击能力与实际影响
攻击者通过此技术控制Gemini面板后,仅需受害者点击Gemini按钮即可执行以下操作,无需任何其他用户交互:
网络钓鱼攻击的风险尤为严重,因为Gemini面板是受信任的浏览器集成组件。其中显示的恶意内容具有独立钓鱼页面所缺乏的固有可信度。
企业安全风险加剧
在企业环境中,被入侵的扩展程序获取员工摄像头、麦克风和本地文件访问权限会带来严重的组织安全风险,可能导致商业间谍活动和数据泄露事件。
谷歌已于2026年1月5日发布修复补丁。运行最新版Chrome的用户已获得安全保护。各组织机构应立即确保所有终端上的Chrome浏览器完成版本更新。
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
同类文章
地下室发现尘封12年AMD前CEO旧PC苏姿丰签名推土机硬件
一位技工在客户家地下室发现一台属于AMD前CEORoryRead的旧PC,机箱上留有苏姿丰等高管签名,配置为推土机时代硬件且从未开机。这台电脑封存了AMD从推土机失败到Zen架构崛起的关键转折历史。
Laravel 12生态成熟助力全栈开发效率提升
Laravel12延续开发体验优势,在项目结构、查询构建、API开发、调试及性能上持续优化。其生态日趋成熟,形成Reverb、Pulse等完整工具链,覆盖API、SaaS、企业后台及AI应用开发。与Next js的组合逐渐流行,Laravel已演变为现代Web开发平台,保持社区活力。
Linux内核持续演进:Rust语言与零拷贝网络成新焦点
LinuxKernel6 15重大更新:Rust驱动正式入主线,NOVADRM成为首个实践案例;io_uring新增零拷贝网络接收,降低CPU开销与延迟;Btrfs增强实时zstd压缩、DirectIO及稳定性。内核同步推进安全化与高性能网络化。
谷歌Gemini进入Agent时代 打造全天候AI助理
Google推出GeminiSpark、Omni等新功能。Spark可全天候在后台运行,主动处理邮件、日历等任务;Omni侧重视频理解与环境推理,布局世界模型。AI正从被动回答转向主动观察、规划与执行,标志着竞赛进入新阶段。
CPU-Z 2.20.2正式版发布 支持Intel三大平台及AMD锐龙AI Max
CPU-Z2 20 2正式版发布,新增支持IntelPantherLake、WildcatLake、BartlettLake三大架构及AMD锐龙AIMax、Pro系列,加入锐炫G3识别库,修复缓存错误和锐龙77700X3D检测问题,免费下载。
- 热门数据榜
相关攻略
2026-07-10 10:06
2026-07-10 10:06
2026-07-10 10:06
2026-07-10 10:05
2026-07-10 10:05
2026-07-10 10:05
2026-07-10 10:05
2026-07-10 10:05
热门教程
- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程

