谷歌Chrome阅读器Gemini功能曝高危破绽 歹意扩展可窃数据实行垂钓进犯

近日，网络安全领域传来一则重要消息，Palo Alto Networks（Unit 42）团队发布了一份关于谷歌Chrome浏览器高危漏洞的报告。该漏洞出现在Chrome浏览器的Gemini功能中，被追踪编号为CVE-2026-0628，这一发现引起了行业内的广泛关注。

从漏洞的运行机制来看，情况不容乐观。拥有基本权限的恶意扩展能够借助“声明式网络请求API”（declarativeNetRequests API）对网络请求进行拦截和修改。这个API本是Chrome浏览器为扩展程序提供的一种接口，通常用于广告拦截或内容过滤等正常用途，然而在此次事件中却被恶意利用，通过它向Gemini面板注入Java代码。

Gemini面板本身具备多种高阶能力，例如读取本地文件、调用摄像头和麦克风以及进行截屏等。攻击者一旦成功注入代码，就可以非法获取这些原本受严格保护的权限。这意味着恶意扩展无需用户进行任何交互操作，就能在后台悄无声息地监控用户的一举一动，窃取本地存储的数据，甚至还能利用用户信任的面板界面发起网络钓鱼攻击，其隐蔽性之高令人担忧。

值得庆幸的是，研究团队秉持着负责任的态度，在2025年10月23日就将该漏洞问题报告给了谷歌。谷歌方面迅速响应，成功复现了问题，并在2026年1月初发布了相应的修复补丁，及时为用户的网络安全提供了一层保障。