Chrome扩展程序漏洞:数百万用户面临安全风险

admin 2026-07-02 05:49:28 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Rebora安全团队发现Chrome扩展程序SiderAI和MaxAI存在Spyder和MaXSS漏洞,允许攻击者通过恶意网站静默控制用户浏览器、窃取数据或执行任意命令。受影响设备超千万台,漏洞涉及缺乏输入验证和事件模拟机制,目前尚未修复。建议用户立即卸载相关扩展并审查浏览器工具安全。 综合评分: 85 文章分类: 漏洞分析,WEB安全,应用安全,威胁情报,安全建设


cover_image

Chrome 扩展程序漏洞:数百万用户面临安全风险

sec随谈 sec随谈

sec随谈

2026年6月22日 09:29 北京

在小说阅读器读本章

去阅读

Rebora 安全研究团队近期发现严重的 Chrome 扩展程序漏洞

此次发现的关键漏洞影响两款广泛使用的 AI 工具:SiderAI 和 MaxAI。目前,这两款热门扩展程序的安装量已超过一千万台设备。因此,如此庞大的用户群体正面临前所未有的安全风险。研究人员将这两个新发现的漏洞分别命名为 Spyder 和 MaXSS,它们最终可允许恶意行为者完全控制用户浏览器。

AI 侧边栏的崛起

近年来,AI 驱动的浏览器工具在全球范围内迅速普及,用户青睐随时可用的 AI 助手所带来的便利。这类扩展程序将专用代码直接注入用户访问的网站,使用户能够无缝地总结长篇文章或提出上下文相关的问题。然而,这种深度浏览器集成也造成了极为危险的安全边界。一旦开发者未能妥善保护这些边界,数百万用户将即刻成为攻击目标。

两款热门 AI 工具遭受质疑

SiderAI 在各大浏览器平台的安装量超过一千万,在 Chrome 网上应用店中位居排行榜前列。与此同时,MaxAI 的活跃用户也已突破一百万。这两款效率工具均严重依赖内部内容脚本来实现其功能。这些脚本本质上充当所访问网页与扩展程序后台进程之间的关键中介,而后台进程拥有控制浏览器环境的重要权限。因此,此处的任何安全疏漏都将为攻击者提供可乘之机。

危险的 MaXSS 漏洞解析

研究人员发现两款扩展程序均存在严重的中介滥用问题。在 MaxAI 中,Chrome 扩展程序漏洞具体表现为 MaXSS 缺陷。令人惊讶的是,其内容脚本直接接受来自任意访问网页的高度敏感消息,却未对这些传入请求进行适当的清理或验证。因此,攻击者可强制扩展程序执行任意系统命令,例如在后台静默打开隐藏标签页,或在未经用户许可的情况下截取私人电子邮件的屏幕截图。这种完全缺乏输入验证的设计从根本上破坏了浏览器的基本安全模型。

隐蔽的 Spyder 漏洞利用

同样,SiderAI 也存在一个同样具有破坏性的漏洞,即 Spyder。该工具通常会嵌入任意网站以提供快速 AI 摘要,而攻击者可通过合成虚假的数字事件来模拟真实的用户操作,进而强制在任意关联网站上执行不可见的键入或点击操作。例如,黑客可轻易窃取受害者的私人 AI 聊天记录,并将可分享的链接悄然泄露至外部服务器。由于整个过程在后台静默进行,用户对数据被盗毫不知情。

对普通用户的严重影响

令人担忧的是,这些复杂的漏洞利用完全不需要用户的主动交互。用户只需访问一个被入侵或恶意的网站,页面加载完成后,静默攻击序列便会立即启动。官方报告警告称,滥用这些漏洞可使攻击者控制任意网站上的所有浏览器会话,导致敏感信息泄露、任意命令被调用,甚至账户被接管。

波及范围广泛且持续扩大

安全研究人员着重强调了此次威胁的惊人规模。报告指出,这些扩展程序受所有类 Chrome 浏览器支持,合计安装量超过一千万台设备。此外,更广泛的网络安全社区也密切关注 CVE-2024-6778、CVE-2024-5836 和 CVE-2025-31995 等类似架构问题,这些相关 CVE 持续揭示复杂浏览器集成所带来的系统性风险。目前,上述 Chrome 扩展程序漏洞尚未获得扩展程序供应商的修复。因此,安全专家强烈建议所有用户立即卸载 SiderAI 和 MaxAI,并仔细审查已安装的浏览器工具,以切实保护个人数字隐私。

参考链接:

https://rebora.io/blog/spyder-and-maxss-chrome-extension-vulnerabilities-put-millions-at-risk#maxai


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:sec随谈 sec随谈 sec随谈《Chrome 扩展程序漏洞:数百万用户面临安全风险》

评论:0   参与:  0