3 月 4 日消息,Palo Alto Networks(Unit 42)团队于 3 月 2 日发布报告,披露谷歌 Chrome 浏览器的高危漏洞,存在于 Gemini 功能中,漏洞追踪编号为 CVE-2026-0628。
在运行机制方面,拥有基本权限的恶意扩展可以通过“声明式网络请求 API”(declarativeNetRequests API)拦截并修改网络请求,向 Gemini 面板注入 JavaScript 代码。
注:该 API 是 Chrome 浏览器提供的一种接口,允许扩展程序拦截、阻止或修改网络请求,常用于广告拦截或内容过滤,本案例中被恶意利用来注入代码。
由于 Gemini 面板本身具备读取本地文件、调用摄像头麦克风及截屏等高阶能力,攻击者通过注入代码即可非法获取这些权限。
这意味着恶意扩展可以在无用户交互的情况下监控用户、窃取本地数据,甚至利用受信任的面板界面发起网络钓鱼攻击,隐蔽性极高。
针对该漏洞,研究团队以负责任的态度,于 2025 年 10 月 23 日向谷歌报告,谷歌随后复现了问题并在 2026 年 1 月初发布了修复补丁。受影响的用户应确保 Chrome 浏览器已升级至 143.0.7499.192 或更高版本。
