Исследователи Palo Alto Networks Unit 42 выявили критическую уязвимость в Google Chrome, из-за которой вредоносные расширения могли перехватывать управление встроенной ИИ-панелью Gemini Live и получать привилегированный доступ к камере, микрофону и локальным файлам пользователя. Ошибка получила идентификатор CVE-2026-0628 с оценкой 8,8 по шкале CVSS и уже исправлена разработчиками Google.
Техническая суть CVE-2026-0628 в Gemini Live
Уязвимость была связана с некорректным применением политик безопасности в компоненте WebView, который используется для загрузки ИИ-панели Gemini Live по специальному служебному адресу chrome://glic. Панель была добавлена в Chrome в сентябре 2025 года как встроенный ИИ-ассистент, тесно интегрированный с браузером и сервисом gemini.google.com.
Исследователь Palo Alto Networks Гал Вейцман (Gal Weizman), сообщивший об уязвимости в Google в ноябре 2025 года, показал, что расширение с базовым набором разрешений могло внедрять произвольный JavaScript-код в контекст Gemini Live с помощью declarativeNetRequest API. Этот API разрешает расширениям перехватывать и модифицировать HTTPS-запросы и ответы и широко используется, например, блокировщиками рекламы.
Ключевой проблемой стало то, что при проектировании WebView-компонента для chrome://glic его не исключили из области действия правил declarativeNetRequest. В результате расширения получали возможность вмешиваться не только в обычные сайты, но и во высокопривилегированный браузерный компонент, отвечающий за ИИ-панель.
Как отмечают исследователи, влияние расширения на содержимое веб-сайта является ожидаемым и контролируемым сценарием. Однако вмешательство в выполнение кода внутри системных компонентов браузера превращается в серьезную проблему безопасности, поскольку ломает границы привилегий, заложенные в архитектуре Chrome.
Как вредоносные расширения могли использовать Gemini Live
В отличие от обычной вкладки с сайтом, ИИ-панель Gemini Live — это часть самого браузера Chrome, работающая в более доверенном контексте. Для реализации функций ассистента ей предоставляются расширенные возможности: чтение и обработка локальных файлов, создание скриншотов, доступ к камере и микрофону, интеграция с системным окружением пользователя.
Атакующему было достаточно убедить пользователя установить специально подготовленное расширение — через фишинговый сайт, поддельный «оптимизатор производительности» или маскировку под популярный инструмент. После установки такое расширение могло модифицировать сетевые ответы, обслуживающие панель Gemini Live, внедрять в нее собственный JavaScript-код и тем самым получать доступ к тем же ресурсам, что и сам ИИ-ассистент.
Практика показывает, что браузерные расширения — один из наиболее недооцененных векторов атак. Ранее неоднократно выявлялись кампании, в рамках которых легитимные на первый взгляд плагины после обновления превращались в шпионские модули, собирающие данные и подменяющие трафик. В случае с Gemini Live риск был усилен именно за счет более высоких привилегий, которыми обладает встроенный ИИ-компонент.
ИИ-агенты в браузере как новый класс рисков
Вейцман подчеркивает, что интеграция ИИ-агентов непосредственно в браузер создает качественно новый вектор атак. Для эффективной работы таким ассистентам требуется расширенный доступ к среде браузера и данным пользователя, что превращает их в привлекательную цель для злоумышленников.
Один из ключевых рисков — prompt injection, или внедрение скрытых подсказок. Вредоносная веб-страница может содержать невидимые для пользователя инструкции, которые ИИ-ассистент воспримет как команду: открыть файл, считать токен с другой вкладки, отправить фрагменты экрана или обойти штатные механизмы защиты, которые браузер для обычного JavaScript-кода не позволил бы.
Еще более опасным становится сценарий, при котором ИИ-агент хранит часть инструкций в памяти между сессиями. В этом случае однократный визит на вредоносный сайт может «заразить» логику ассистента надолго, формируя постоянный канал утечки данных или неочевидные обходные пути для повышения привилегий.
По словам исследователя, размещение подобных ИИ-компонентов в высокопривилегированном контексте неизбежно увеличивает вероятность логических ошибок, XSS в сервисных интерфейсах, атак повышения привилегий и сторонних каналов (side-channel), которые могут эксплуатироваться менее привилегированными сайтами или расширениями.
Меры защиты для пользователей и разработчиков
Google уже устранил CVE-2026-0628, выпустив обновления Chrome версий 143.0.7499.192/.193 для Windows и macOS и 143.0.7499.192 для Linux. Всем пользователям рекомендуется убедиться, что браузер обновлен до актуальной версии, поскольку патчи безопасности устанавливаются именно через такие обновления.
Пользователям стоит соблюдать базовые практики кибербезопасности: устанавливать расширения только из проверенных источников, внимательно читать запрашиваемые разрешения, регулярно ревизовать список установленных плагинов и удалять неиспользуемые. В корпоративной среде целесообразно применять централизованные политики управления расширениями и ограничивать их список до доверенных.
Для разработчиков браузеров и ИИ-платформ это событие — сигнал к необходимости : изоляция высокопривилегированных компонентов, строгие границы между WebView и расширениями, явное исключение служебных URL из declarativeNetRequest, а также использование принципа наименьших привилегий для ИИ-панелей.
Расширение функциональности браузеров за счет ИИ-инструментов открывает значительные возможности, но одновременно подчеркивает важность аккуратного проектирования механизмов безопасности. Чем глубже ИИ встроен в браузер и операционную систему, тем более критично обеспечить его строгую изоляцию от потенциально опасного кода — будь то веб-сайты или расширения.
