近日,网络安全领域传来一则重要消息,Palo Alto Networks(Unit 42)团队发布了一份关于谷歌Chrome浏览器高危漏洞的报告。该漏洞出现在Chrome浏览器的Gemini功能中,被追踪编号为CVE-2026-0628,这一发现引起了行业内的广泛关注。
从漏洞的运行机制来看,情况不容乐观。拥有基本权限的恶意扩展能够借助“声明式网络请求API”(declarativeNetRequests API)对网络请求进行拦截和修改。这个API本是Chrome浏览器为扩展程序提供的一种接口,通常用于广告拦截或内容过滤等正常用途,然而在此次事件中却被恶意利用,通过它向Gemini面板注入Java代码。
Gemini面板本身具备多种高阶能力,例如读取本地文件、调用摄像头和麦克风以及进行截屏等。攻击者一旦成功注入代码,就可以非法获取这些原本受严格保护的权限。这意味着恶意扩展无需用户进行任何交互操作,就能在后台悄无声息地监控用户的一举一动,窃取本地存储的数据,甚至还能利用用户信任的面板界面发起网络钓鱼攻击,其隐蔽性之高令人担忧。
值得庆幸的是,研究团队秉持着负责任的态度,在2025年10月23日就将该漏洞问题报告给了谷歌。谷歌方面迅速响应,成功复现了问题,并在2026年1月初发布了相应的修复补丁,及时为用户的网络安全提供了一层保障。
