嘿,你听说没?2026年1月谷歌把Chrome那个Gemini面板的大漏洞给修补上了,不过这事儿闹得挺大。帕洛阿尔托网络公司的Unit42团队揭露了一个叫CVE-2026-0628的高危缺陷。你知道那个GeminiLive吧,就是浏览器自带的交互式AI界面,功能特别强,能截屏、读本地文件,甚至打开摄像头和麦克风。但正因为集成得太深,一旦被坏人盯上了就糟了。 研究人员Gal Weizman说了,这个漏洞让普通权限的恶意插件能直接劫持Gemini面板的请求。通过篡改发往AI面板的流量,坏蛋就能把自己的Java代码给注入进去,轻轻松松拿到不该有的系统权限。这就好比让小偷拿到了大门钥匙,想干啥干啥——想开摄像头就开,想截个屏也行。 现在的情况是,这个漏洞利用起来门槛很低,基本上普通的扩展行为就能利用Chrome的设计漏洞来搞破坏。幸亏谷歌动作快,已经把这个版本给修复了,用的是Chrome 143.0.7499.192和143.0.7499.193这两个新的版本号。 不过这事儿也提醒咱们,现在的AI助手功能跟浏览器绑得太紧了。分析公司Gartner都建议大多数企业别用那种带深度系统钩子的智能体浏览器了,觉得风险太大。甚至有研究发现,Android恶意软件现在也开始用生成式AI来帮忙了,比如2月份那个能调用谷歌Gemini模型解读屏幕截图的例子。看来不管是做软件的还是搞攻击的,都喜欢往系统最敏感的地方塞AI技术。 其实多年来厂商一直在想办法限制扩展权限不让恶意下载探测系统,但随着AI功能的加入,这事儿变得越来越复杂。咱们在享受便利的同时,还是得留个心眼儿,小心别被软件里的权限给坑了。