HackerNews 编译，转载请注明出处：

Palo Alto Networks研究人员发现谷歌Chrome浏览器漏洞（CVE-2026-0628），恶意扩展程序可利用该漏洞控制Gemini Live AI助手，实施用户监控并窃取敏感文件。

报告指出："我们在Chrome新版Gemini功能实现中发现高危安全漏洞，攻击者可借此侵入浏览器环境并访问本地操作系统文件。具体而言，该漏洞允许拥有基础权限的恶意扩展劫持Chrome浏览器面板中的Gemini Live。"

Chrome侧边栏AI助手Gemini Live用于实时内容摘要、执行任务及理解网页上下文。作为"AI浏览器"核心组件，其深度集成带来便利的同时也产生风险。

该漏洞于Chrome 143版本修复。拥有declarativeNetRequests权限的恶意扩展可向Gemini面板注入JavaScript代码，而非仅限于标准Gemini标签页。由于面板是可信浏览器组件，劫持后可获得超越普通扩展的提权能力，包括访问本地文件、截图、摄像头和麦克风，无需用户额外授权即可实施钓鱼或监控。

研究人员向谷歌演示了普通扩展劫持Gemini面板后可执行的操作：实施钓鱼攻击、未经同意启动摄像头和麦克风、访问底层操作系统本地文件和目录、对HTTPS网站标签页截图。

基于扩展的攻击常被低估，但AI浏览器功能提升了风险等级。该漏洞于2025年10月23日负责任披露给谷歌，2026年1月初修复。报告结论称："尽管AI浏览器功能可改善用户体验，持续监控潜在安全漏洞至关重要。"

...

HackerNews 编译，转载请注明出处：

嵌入在可访问客户端代码中的 Google Maps 等服务 API 密钥，可被用于向 Gemini AI 助手进行身份认证并访问私有数据。

...

HackerNews 编译，转载请注明出处：

Gemini MCP 工具存在一个高危零日漏洞，使用户在无需任何身份验证的情况下暴露于远程代码执行（RCE）攻击。

该漏洞追踪编号为 ZDI-26-021 / ZDI-CAN-27783，通用漏洞标识符为CVE-2026-0755，其 CVSS v3.1 最高评分为 9.8 分，反映了其易被利用且危害程度高的特性。

根据趋势科技零日计划（ZDI）的一份新公告，该漏洞影响了开源工具 gemini-mcp-tool，该工具用于实现 Gemini 模型与模型上下文协议（MCP）服务的集成。

漏洞概述
在公告中，涉事厂商及产品均标注为 Gemini MCP Tool / gemini-mcp-tool。该漏洞的核心成因是 execAsync 方法对用户输入数据处理不当。

该函数未对用户输入进行充分验证与净化，便直接将其传入系统调用。

远程攻击者可以利用此命令注入漏洞，在目标底层系统上执行任意代码，且代码执行权限与服务账户权限一致。

由于攻击媒介是基于网络的，且无需事先身份验证或用户交互，因此暴露于公网或共享环境的风险特别高。

该漏洞最初于 2025 年 7 月 25 日通过第三方平台报告给相关厂商。

ZDI 在 2025 年 11 月跟进漏洞修复进展，在未获得充分反馈的情况下，于 2025 年 12 月 14 日告知供应商其打算将此案例作为零日漏洞进行公告披露。

该漏洞的协同公开披露及安全公告更新工作于 2026 年 1 月 9 日完成。

截至公告发布时，厂商尚未推出官方补丁及修复更新。因此，该漏洞的缓解措施选项有限。

ZDI 建议严格限制对 Gemini MCP 工具的访问权限，确保其不直接暴露于互联网，且仅允许可信网络及可信用户进行交互。

管理员还需对运行 gemini-mcp-tool 的系统进行监控，重点排查可疑进程执行及异常对外连接情况，此类现象可能意味着漏洞已被成功利用。

...

HackerNews 编译，转载请注明出处：

HackerNews 编译，转载请注明出处：

谷歌 Gemini 企业级 AI 生态系统中一个新发现的提示词注入漏洞已被修复，该漏洞曾允许攻击者窃取敏感的 Gmail 邮件、文档及日历数据，但专家表示，这只是 AI 漏洞时代的开端。

“GeminiJack” 漏洞存在于谷歌 Gemini Enterprise（此前也存在于 Vertex AI Search）中，由诺玛实验室（Noma Labs）的研究人员于今年 5 月发现，在与谷歌合作完成修复后，该漏洞已于本周二被公开披露。

攻击者利用企业对谷歌 Workspace 工具及共享功能的依赖，能够操纵日常工作流程，进而访问并窃取企业敏感信息。

诺玛实验室指出：“一份共享的谷歌文档、一则谷歌日历邀请，甚至一封 Gmail 邮件，都能瞬间成为侵入企业数据的持续性开放通道。”

更关键的是，诺玛实验室称，与传统软件漏洞不同，GeminiJack 并非常规缺陷，而是谷歌企业级 AI 系统在解读用户提供内容时存在的架构性弱点。

同时，由于该漏洞无需用户任何操作即可造成危害，它也被视为迄今企业级云环境中遭遇的最严重 AI 驱动型安全风险之一。

诺玛实验室在其安全博客中解释：“目标员工无需进行任何点击，不会出现任何警示信号，也不会触发任何传统安全工具。”

DryRun Security 首席执行官詹姆斯・威克特（James Wickett）表示：“GeminiJack 这类事件表明，提示词注入和数据泄露已不再是边缘性研究课题，这些漏洞是企业（即便是大型科技公司）将大语言模型接入系统时，深层架构问题的外在表现。”

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

谷歌于周三宣布，发现某未知威胁行为者正在使用一款名为 PROMPTFLUX 的实验性 Visual Basic 脚本恶意软件。该恶意软件通过与谷歌 Gemini  AI模型的 API 交互，自主编写源代码，以增强代码混淆效果并提升规避检测能力。

谷歌威胁情报小组在提交给The Hacker News的报告中指出：“PROMPTFLUX 采用 VBScript 编写，通过调用 Gemini 的 API 获取特定的 VBScript 混淆与规避技术，实现‘即时’自我修改，其核心目的很可能是躲避基于静态特征的检测机制。”

这一创新特性源自该恶意软件的 Thinking Robot组件 —— 该组件会定期查询 LLM（本案例中为 Gemini 1.5 Flash 或更高版本），获取新代码以绕过安全检测。具体实现方式是通过硬编码的 API 密钥，向 Gemini API 端点发送查询请求。

发送给模型的提示词既具备高度针对性，又支持机器解析，不仅明确要求对 VB 脚本代码进行修改以躲避杀毒软件检测，还指令模型仅输出代码本身，避免多余信息干扰执行流程。

除代码再生能力外，该恶意软件还会将新生成的混淆版本保存至 Windows 启动文件夹以建立持久化机制，并尝试通过复制自身到可移动存储设备及映射网络共享目录的方式进行传播。

谷歌补充道：“尽管自我修改功能（AttemptToUpdateSelf）目前处于注释状态，但该功能的存在，加之 AI 响应日志会主动记录至 '% TEMP%\thinking_robot_log.txt' 文件这一行为，清晰表明攻击者的目标是打造一款能够随时间演进的变形脚本。”

这家科技巨头还透露，已发现多个集成了 LLM 驱动代码再生功能的 PROMPTFLUX 变体。其中一个版本通过提示词指令 LLM 扮演 “专业 VBScript 混淆师”，每小时对恶意软件的完整源代码进行一次重写。

经评估，PROMPTFLUX 目前仍处于开发或测试阶段，暂未具备入侵目标网络或设备的能力。尽管其幕后操控者身份尚未明确，但相关迹象表明，这很可能是一个以经济利益为驱动的威胁行为者，采用不分地域、不分行业的广泛攻击策略，目标用户群体覆盖范围极广。

谷歌同时指出，攻击者已不再局限于利用 AI 提升操作效率，而是开始打造能够在执行过程中动态调整行为的工具，更有甚者开发专用工具并在地下论坛出售以牟取经济利益。该公司还观察到其他多起利用 LLM 的恶意软件案例，具体包括：

...