Chrome 现高危缺陷：恶意扩展可接管 Gemini 面板，越权访问摄像头与文件

随着 AI 功能深入浏览器底层，新的安全风险也随之出现。安全专家近日在谷歌 Chrome 中发现一枚编号为 CVE-2026-0628 的高危漏洞。攻击者可借此劫持内置的 Gemini Live 面板，从而拿到本不应开放的系统级权限。

该问题由 Palo Alto Networks 旗下 Unit 42 的研究人员披露。分析显示，恶意扩展可利用浏览器处理侧边栏请求的逻辑缺陷，绕过 Chrome 的安全防护。一旦接管 Gemini 面板，扩展就能“继承”AI 助手的高权限，包括打开摄像头或麦克风、读取本地敏感文件、截屏，甚至把钓鱼内容塞进看起来正常的对话框中。

“Gemini 需要执行许多被允许的合法操作，一旦面板被接管，扩展就能据此获得平时拿不到的系统资源访问权，” 安全研究员 Gal Weizman 表示。这也说明，把 AI 深度嵌入浏览器核心后，攻击面会被放大——原本受限的扩展只要碰上 AI 模块的漏洞，就可能实现权限跃迁。

谷歌已在 1 月初的稳定版更新中修复该漏洞。受影响用户应尽快将 Chrome 升级至 143.0.7499.192 或更新版本。

这起事件也引发了对“AI 助手权限过大”的担忧。研究机构 Gartner 此前建议组织尽量避免使用与系统深度联动的“代理型”浏览器，认为 AI 自动化带来的效率增益，未必能覆盖其带来的深层系统风险。

划重点

• 🛡️ 权限提升风险：恶意扩展借助 CVE-2026-0628 可接管 Gemini 面板，越权启用摄像头/麦克风并读取本地文件。

• 🛠️ 修复已上线：谷歌已在 143.0 稳定版紧急封堵该漏洞，及时更新才能获得保护。

• ⚠️ AI 集成隐忧：AI 助手深度嵌入浏览器底层改变了威胁模型，如何在便捷与安全间取舍成了新考题。