一、问题发现 帕洛阿尔托网络安全团队在例行检测中发现,Chrome 143 版本之前的浏览器存在一处设计缺陷;漏洞位于“侧边栏智能助手”功能模块,该模块用于提供实时网页分析、任务执行等服务。研究人员证实,拥有基础权限的恶意扩展可绕过安全机制,向该模块注入任意代码,进而获得系统级操作权限。 二、技术成因 分析显示,漏洞主要源于浏览器对扩展权限校验不充分。按正常设计,扩展程序应只能操作特定标签页内容;但该缺陷使恶意扩展能够直接侵入浏览器可信组件“Gemini Live 面板”,突破“最小权限原则”。由于该面板被系统默认为安全组件,一旦被劫持,便可能自动获得文件读写、设备调用等原本需要二次授权的敏感权限。 三、实际危害 实验验证表明,攻击者可带来三类风险:一是窃取本地存储的办公文档、登录凭证等敏感数据;二是未经授权启用摄像头和麦克风实施监控;三是伪造钓鱼界面诱导用户输入关键信息。有一点是,此类攻击可在后台静默运行,普通用户难以及时察觉。网络安全专家指出,该漏洞对政企机构的机密数据风险尤为突出。 四、应对措施 谷歌在 2025 年 10 月接到报告后启动应急响应,并在四个月内完成补丁开发与全球推送。新版浏览器(143 及以上版本)通过重构权限验证架构修复了该漏洞。安全团队建议用户尽快更新浏览器,同时定期检查已安装的扩展程序,关闭不必要的高风险权限申请。 五、行业反思 此次事件再次暴露出智能化功能与安全之间的张力。随着浏览器功能不断扩展、逐步呈现“操作系统化”趋势,功能越复杂,潜在攻击面也随之增加。业内专家呼吁将“隐私与安全前置”纳入开发规范,要求新功能上线前完成严格的安全影响评估。目前,多家国际标准化组织已着手制定智能组件的安全开发框架。
技术进步与安全保障始终相伴而行。智能化为用户带来便利,也在不断扩大攻防边界。本次漏洞事件提示我们:任何忽视安全基础的创新,都可能留下隐患。只有在功能迭代与安全防护之间取得平衡,建立覆盖全生命周期的安全机制,技术才能真正服务于人,而不是成为风险来源。对普通用户而言,及时更新系统与浏览器、谨慎安装扩展、保持基本安全习惯,仍是保护数字生活的有效方式。