详情

IT之家 3 月 4 日音书欧洲杯体育，Palo Alto Networks（Unit 42）团队于 3 月 2 日发布证据，露馅谷歌 Chrome 浏览器的高危辗转，存在于 Gemini 功能中，辗转跟踪编号为 CVE-2026-0628。

在开首机制方面，领有基本权限的坏心推广不错通过“声明式汇聚恳求 API”（declarativeNetRequests API）遏抑并修改汇聚恳求，向 Gemini 面板注入 JavaScript 代码。

IT之家注：该 API 是 Chrome 浏览器提供的一种接口，允许推广款式遏抑、贬抑或修改汇聚恳求，常用于告白遏抑或践诺过滤，本案例中被坏心愚弄来注入代码。

由于 Gemini 面板自身具备读取腹地文献、调用录像头麦克风及截屏等高阶能力，膺惩者通过注入代码即可违章取得这些权限。

这意味着坏心推广不错在不消户交互的情况下监控用户、窃取腹地数据，甚而愚弄受信任的面板界面发起汇聚垂纶膺惩，装璜性极高。

针对该辗转欧洲杯体育，辩论团队以负包袱的气派，于 2025 年 10 月 23 日向谷歌证据，谷歌随后复现了问题并在 2026 年 1 月初发布了缔造补丁。