文章总结： PaloAltoNetworks研究人员发现谷歌Chrome浏览器高危漏洞CVE-2026-0628，恶意扩展可利用该漏洞劫持侧边栏AI助手GeminiLive。攻击者无需额外授权即可注入JS代码，获得提权访问本地文件、截屏及开启摄像头麦克风等权限，实施间谍活动。该漏洞已在Chrome143版本修复。报告警示AI浏览器功能集成带来的安全风险需持续监控。 综合评分： 80 文章分类： 漏洞分析,漏洞预警,AI安全,WEB安全

【安全圈】Chrome 安全漏洞致 Gemini Live 助手遭劫持，可被用于间谍活动

安全圈

2026年3月4日 19:03 江苏

关键词

漏洞

Palo Alto Networks研究人员发现谷歌Chrome浏览器漏洞（CVE-2026-0628），恶意扩展程序可利用该漏洞控制Gemini Live AI助手，实施用户监控并窃取敏感文件。

报告指出：”我们在Chrome新版Gemini功能实现中发现高危安全漏洞，攻击者可借此侵入浏览器环境并访问本地操作系统文件。具体而言，该漏洞允许拥有基础权限的恶意扩展劫持Chrome浏览器面板中的Gemini Live。”

Chrome侧边栏AI助手Gemini Live用于实时内容摘要、执行任务及理解网页上下文。作为”AI浏览器”核心组件，其深度集成带来便利的同时也产生风险。

该漏洞于Chrome 143版本修复。拥有declarativeNetRequests权限的恶意扩展可向Gemini面板注入JavaScript代码，而非仅限于标准Gemini标签页。由于面板是可信浏览器组件，劫持后可获得超越普通扩展的提权能力，包括访问本地文件、截图、摄像头和麦克风，无需用户额外授权即可实施钓鱼或监控。

研究人员向谷歌演示了普通扩展劫持Gemini面板后可执行的操作：实施钓鱼攻击、未经同意启动摄像头和麦克风、访问底层操作系统本地文件和目录、对HTTPS网站标签页截图。

基于扩展的攻击常被低估，但AI浏览器功能提升了风险等级。该漏洞于2025年10月23日负责任披露给谷歌，2026年1月初修复。报告结论称：”尽管AI浏览器功能可改善用户体验，持续监控潜在安全漏洞至关重要。”

END

阅读推荐

【安全圈】离职后删数据致企业瘫痪，男子“技术报复”换来刑责

【安全圈】黑客发售首日破解《生化危机：安魂曲》D 加密！

【安全圈】韩国警方闹乌龙：价值 150 万美元比特币在眼皮底下被盗

【安全圈】美以袭击伊朗期间，遭入侵的祈祷应用被用作网络武器

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】Chrome 安全漏洞致 Gemini Live 助手遭劫持，可被用于间谍活动》