IT 之家 3 月 4 日消息，Palo Alto Networks（Unit 42）团队于 3 月 2 日发布报告，披露谷歌 Chrome 浏览器的高危漏洞，存在于 Gemini 功能中，漏洞追踪编号为 CVE-2026-0628。

在运行机制方面，拥有基本权限的恶意扩展可以通过 " 声明式网络请求 API"（declarativeNetRequests API）拦截并修改网络请求，向 Gemini 面板注入 JavaScript 代码。

IT 之家注：该 API 是 Chrome 浏览器提供的一种接口，允许扩展程序拦截、阻止或修改网络请求，常用于广告拦截或内容过滤，本案例中被恶意利用来注入代码。

由于 Gemini 面板本身具备读取本地文件、调用摄像头麦克风及截屏等高阶能力，攻击者通过注入代码即可非法获取这些权限。

这意味着恶意扩展可以在无用户交互的情况下监控用户、窃取本地数据，甚至利用受信任的面板界面发起网络钓鱼攻击，隐蔽性极高。

针对该漏洞，研究团队以负责任的态度，于 2025 年 10 月 23 日向谷歌报告，谷歌随后复现了问题并在 2026 年 1 月初发布了修复补丁。