كشف باحثو الأمن السيبراني عن ثغرة خطيرة في متصفح Google Chrome، تم إصلاحها مؤخراً، كانت تسمح للمهاجمين بالتصعيد إلى صلاحيات أعلى والوصول إلى ملفات محلية على النظام. الثغرة تحمل الرمز CVE-2026-0628 وتقييم خطورة 8.8 وفق مقياس CVSS، ووصفت بأنها نتيجة ضعف في تطبيق السياسات داخل وسم WebView.
جوجل قامت بترقيع الثغرة في يناير 2026 ضمن الإصدار 143.0.7499.192/.193 على أنظمة ويندوز وماك، و143.0.7499.192 على لينكس.
استغلال لوحة Gemini
الباحث Gal Weizman من وحدة Palo Alto Networks Unit 42 أوضح أن الثغرة سمحت لامتدادات خبيثة بامتيازات محدودة بالسيطرة على لوحة Gemini Live الجديدة في Chrome، والتي أُضيفت في سبتمبر 2025.
من خلال امتداد مُصمم خصيصاً، يمكن للمهاجم حقن شيفرات JavaScript أو HTML داخل الصفحة المميزة gemini.google[.]com/app، ما يتيح لهم الوصول إلى الكاميرا والميكروفون دون إذن، التقاط صور للشاشة، والتفاعل مع ملفات النظام المحلي.
مخاطر دمج الذكاء الاصطناعي في المتصفحات
تُبرز هذه الثغرة خطورة دمج قدرات الذكاء الاصطناعي مباشرة في المتصفحات. فالمساعدات الذكية تحتاج صلاحيات واسعة لتنفيذ مهام متعددة الخطوات مثل التلخيص والترجمة، لكن هذه الصلاحيات قد تُستغل عبر صفحات خبيثة أو امتدادات مضللة.
الهجوم يمكن أن يستغل التوجيهات المخفية (Prompt Injection) لإقناع المساعد بتنفيذ أوامر محظورة، أو حتى تخزينها في الذاكرة لتستمر عبر جلسات متعددة، ما يفتح الباب أمام تسريب بيانات أو تنفيذ تعليمات برمجية ضارة.
أبعاد أمنية أوسع
وحدة Unit 42 حذرت من أن دمج لوحة AI في سياق عالي الامتياز داخل المتصفح قد يعيد مخاطر كلاسيكية مثل:
- XSS (Cross-Site Scripting)
- Privilege Escalation
- Side-Channel Attacks
كما أن استغلال واجهة declarativeNetRequest API، المستخدمة عادة في إضافات حجب الإعلانات، سمح للمهاجمين بتغيير خصائص الطلبات والردود عبر HTTPS، ما جعل الهجوم ممكناً بامتيازات محدودة.
