Google Chrome 瀏覽器在 2026 年 1 月釋出今年的首波安全性更新,針對瀏覽器核心元件的高風險漏洞進行修補。除此之外,資安研究人員近期也發現多款偽裝成 AI 輔助工具的惡意擴充功能,正鎖定使用者的聊天紀錄進行資料竊取。建議使用者應立即更新瀏覽器版本並檢視已安裝的擴充元件,以確保資訊安全。
官方修補 WebView 政策執行漏洞
Google 官方本週正式釋出 Chrome 版本 143.0.7499.192 的更新,主要是為了修補了一個編號為 CVE-2026-0628 的高風險安全漏洞。該漏洞位於 WebView 元件中,原因是未能確實執行原有的安全防護規則。
根據資安研究人員 Gal Weizman 的報告說明,倘若不修補此漏洞,將可能導致外部來源的內容在未經嚴格檢查的情況下就被載入,進而使攻擊者有機會繞過安全限制。雖然目前尚未發現此漏洞已被用於攻擊,但 Google 仍將其列為高風險級別。
此次更新涵蓋 Windows、macOS 與 Android 平台,使用者應盡快前往瀏覽器的「說明」選單中點選「關於 Google Chrome 」進行手動更新,以確保瀏覽器處於最新且安全的狀態。
惡意擴充功能竊取AI對話資料
除了官方的系統更新外,Chrome 線上應用程式商店近期也出現資安威脅。資安公司 OX Security 揭露了兩款惡意擴充功能,分別名為 Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI 以及 AI Sidebar with Deepseek, ChatGPT, Claude, and more。
這兩款工具合計擁有超過 90 萬名使用者,表面上只是提供整合多種 AI 模型的便利服務,實際上卻在背景執行惡意行為。
研究人員發現這些惡意程式採用了一種稱為 Prompt Poaching 的攻擊手法。當使用者透過瀏覽器與 ChatGPT 或 DeepSeek 等 AI 聊天機器人互動時,擴充功能會鎖定網頁中的特定元素並側錄對話內容,隨後將這些敏感資料回傳至攻擊者控制的伺服器。這類攻擊不僅侵犯個人隱私,更可能導致企業內部的機密資料外洩。
建議使用者立即採取防護措施
面對瀏覽器核心漏洞與第三方惡意軟體的雙重風險,CyberQ 建議使用者除了應確認 Chrome 瀏覽器使否已更新至最新版本外,更應審慎檢視瀏覽器中安裝的擴充功能。若發現安裝了上述提及的 AI 輔助工具或來源不明的軟體,應立即將其移除。透過保持軟體更新與謹慎使用第三方工具,才能有效降低資安風險。
首圖由 Nano Banana AI 生成
