驯服“浏览器特工”:Chrome的一个漏洞让扩展程序劫持了新的Gemini面板

admin
admin
admin
0
文章
0
评论
2026-03-09 02:03:27 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 谷歌ChromeGemini面板存在漏洞,允许扩展程序劫持并窃听AI对话。问题源于旧权限模型与新AI功能的冲突,虽已在Chrome125修复,但暴露了架构隐患。建议用户严查权限、精简扩展,勿在内置AI中处理敏感数据。这标志着浏览器安全重心转向智能体防护。 综合评分: 88 文章分类: 漏洞分析,AI安全,WEB安全,安全建设

cover_image

驯服“浏览器特工”:Chrome的一个漏洞让扩展程序劫持了新的Gemini面板

幻泉之洲

2026年3月8日 10:09 北京

谷歌刚给Chrome浏览器塞进去一个AI助手Gemini,安全研究人员就发现了一个设计缺陷:任何被你信任的扩展程序,都能直接接管这个新弹出的AI聊天面板,把你的秘密对话看个一清二楚。这给我们提了个醒:在浏览器这个战场上,AI功能和传统安全模型的碰撞,才刚刚开始。

事情是这样的。今年二月,谷歌在Chrome浏览器里加了个新东西:侧边栏的Gemini助手。这东西挺方便,不用新开标签页,点一下图标就能在旁边弹出个小窗,直接跟AI聊天。

但Unit 42的研究人员Matan Dobrushin和Oleg Zaytsev发现,这个“方便”的背后,藏着一个安全上的老问题:扩展程序的权限有点太大了。

“盲区”里发生了什么

Chrome扩展程序有个功能,能监听和修改WebRequest,也就是浏览器发出的网络请求。这功能本身是为了广告拦截和隐私保护设计的,很常用。

问题出在Gemini面板的加载方式上。当你点击Gemini图标,浏览器会在一个特殊的“侧边栏”里打开一个网址,比如 chrome-untrusted://newtab/ 开头的页面。这个页面属于Chrome的“特权”页面,普通网页不能直接访问它。

但是,扩展程序可以。

Dobrushin他们发现,一个拥有webRequest权限的扩展,可以完全拦截Gemini面板发出的所有网络请求。这还不是最糟的。

利用内容脚本,扩展程序甚至能直接向这个特权Gemini面板里注入自己的JavaScript代码。想象一下,你正跟Gemini聊工作上的敏感数据,或者让它分析一份私人文档。一个恶意的扩展(或者一个原本正常但被黑掉的扩展)就在旁边静静地看着,把你所有的提问和AI的回复全部记录下来,然后偷偷发走。

你几乎不可能察觉。因为一切看起来都正常,Gemini面板是浏览器自己打开的,你根本不会想到它内部已经被“寄生”了。

最讽刺的一点在于,这个漏洞得以存在,恰恰是因为用户“信任”并安装了那个扩展程序。安全模型假设扩展是善意的,但现实是,扩展会被收购、会更新带毒版本、或者开发者账号直接被黑。这种“授信”的边界,正在被AI这类新功能不断挑战。

谷歌的“补丁”与真正的难题

谷歌收到报告后,动作很快。他们在Chrome 125版本中修复了这个问题,方法简单直接:禁止扩展程序访问 chrome-untrusted://newtab 这个URL。

这算是堵上了眼前的洞。但说实话,这只是个战术性的修复。

真正的战略难题是:随着AI功能深度集成进浏览器,我们该如何重新定义扩展的权限模型?

过去,扩展的威胁主要针对的是普通网页。现在,浏览器自身变成了一个“AI应用平台”,里面运行着能处理高敏感信息的AI助手。过去那套“要么全信,要么别用”的扩展权限机制,是不是有点不够用了?

想想看,未来可能出现的场景:

  • 浏览器内置的AI帮你自动填表、总结邮件,这些数据扩展能碰吗?
  • AI根据你的浏览记录给出建议,扩展能窃取这份“行为档案”吗?
  • 如果一个扩展宣称能“增强”你的AI助手体验,你如何判断它是不是在撒谎?

这次Gemini面板事件,就像一次早期的压力测试。它暴露了一个根本矛盾:浏览器厂商急于推出炫酷的AI功能来吸引用户,但这些新功能往往被硬塞进一个为上世纪90年代网页设计的安全架构里。

给普通用户的启示

对于咱们普通用户,这事有几点挺实在的提醒:

  1. 扩展权限要细看:别再闭着眼睛点“同意”了。安装扩展时,仔细看看它要的权限。如果一个简单的天气扩展要求“读取和更改您在所有网站上的数据”,你就得掂量掂量了。
  2. 能少装就少装:浏览器扩展是重要的攻击面。每个扩展都是一个潜在的风险点。只保留真正必需的,定期清理不用的。
  3. 来源很重要:尽量只从Chrome官方应用商店安装,并且注意开发者信息。那些不知名开发者发布、突然爆火的免费扩展,要多个心眼。
  4. 别在AI里聊太敏感的事:至少在当前阶段,别用浏览器内置的AI助手讨论密码、密钥、财务细节或高度机密的工作内容。把它当作一个公开场所来对待。

结语:旧规则,新战场

谷歌迅速修复了漏洞,这值得肯定。但修补一个具体漏洞,和解决一类架构问题,是两码事。

这次事件不是一个孤立的bug,而是一个信号。它标志着浏览器安全战场的一次转移——从保护网页内容,扩展到保护浏览器自身集成的智能体。当你的浏览器不再只是一个“查看器”,而是一个能主动思考、行动的“智能体”时,围绕它建立的所有安全假设,都需要重新审视。

接下来,我们可能会看到更多类似的问题。其他浏览器厂商在集成AI时,大概率也会踩进同一个坑。而对于扩展开发者来说,一个新的“灰色地带”也出现了:如何在不越界的情况下,与浏览器内置的AI功能进行有价值的交互?这既是个技术问题,也是个商业和伦理问题。

安全就像打地鼠,AI这只“大个子地鼠”刚刚冒头,敲打它的游戏,规则已经变了。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:幻泉之洲 《驯服“浏览器特工”:Chrome的一个漏洞让扩展程序劫持了新的Gemini面板》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0