Groźna luka w Chrome i Gemini pozwalała przejąć asystenta AI i dostęp do kamery oraz plików

Badacze bezpieczeństwa Unit 42 z Palo Alto Networks wykryli poważną podatność w przeglądarce Google Chrome związaną z integracją asystenta Gemini Live. Błąd umożliwiał złośliwemu rozszerzeniu – nawet z podstawowymi uprawnieniami – przejęcie kontroli nad panelem asystenta AI i wykonanie działań z poziomu uprzywilejowanego komponentu przeglądarki.

W praktyce oznaczało to możliwość eskalacji uprawnień, a w konsekwencji m.in. uruchomienia kamery i mikrofonu bez wiedzy użytkownika, wykonywania zrzutów ekranu, dostępu do lokalnych plików czy wyświetlania treści phishingowych w zaufanym interfejsie przeglądarki. Luka ta została zgłoszona Google w trybie odpowiedzialnego ujawnienia i załatana na początku 2026 roku.

Skąd biorą się takie luki?

Jak wskazują specjaliści Palo Alto Networks, problem wynikał z architektury nowych tzw. „przeglądarek agentowych”, które integrują asystentów AI bezpośrednio z systemem przeglądania. Aby wykonywać zadania w imieniu użytkownika – podsumowywać treści, analizować ekran czy automatyzować działania – asystent otrzymuje szeroki dostęp do środowiska przeglądarki, a często także do zasobów systemowych.

Tak wysoki poziom uprawnień zwiększa tzw. powierzchnię ataku. Każdy dodatkowy komponent – szczególnie tak złożony jak panel AI – może zawierać błędy logiczne lub implementacyjne. W tym przypadku podatność pozwalała obejść mechanizmy izolacji, które normalnie oddzielają rozszerzenia od krytycznych funkcji przeglądarki.

Technicznie atak opierał się na możliwości przechwycenia i modyfikacji ruchu do aplikacji Gemini przy użyciu legalnego API rozszerzeń (declarativeNetRequest). W zwykłej karcie przeglądarki takie działanie nie daje dostępu do funkcji wrażliwych. Jednak po uruchomieniu Gemini w specjalnym panelu Chrome aplikacja działała z rozszerzonymi uprawnieniami – co umożliwiało wstrzyknięcie kodu i przejęcie tych możliwości przez atakującego.

Dlaczego to szczególnie niebezpieczne?

Największe zagrożenie wynika z faktu, że przejęty komponent jest częścią samej przeglądarki, a więc elementem zaufanym. Użytkownik nie widzi klasycznych oznak ataku, a działania mogą być wykonywane bez dodatkowej interakcji.

Co więcej, ataki oparte na rozszerzeniach stają się coraz powszechniejsze. Złośliwe dodatki bywają publikowane w oficjalnych sklepach, przejmowane od legalnych twórców lub aktualizowane do szkodliwych wersji po instalacji. W środowiskach firmowych mogłoby to prowadzić do wycieku danych, podsłuchu lub kradzieży informacji z systemów pracowników.

Szerszy problem bezpieczeństwa AI w przeglądarkach

Eksperci podkreślają, że incydent pokazuje systemowe wyzwanie związane z integracją sztucznej inteligencji w oprogramowaniu użytkowym. Asystenci AI działają jako pośrednicy między użytkownikiem a systemem, często z dostępem wykraczającym poza tradycyjne modele bezpieczeństwa.

Wraz z rozwojem przeglądarek zdolnych do autonomicznego wykonywania zadań rośnie ryzyko nadużyć – od manipulacji poleceniami AI po eksfiltrację danych czy omijanie mechanizmów ochrony, takich jak polityka tego samego pochodzenia (SOP).

Choć luka w Chrome została już usunięta, przypadek ten pokazuje, że nowe funkcje zwiększające produktywność mogą jednocześnie wprowadzać zupełnie nowe klasy zagrożeń. Dla użytkowników i organizacji oznacza to konieczność większej ostrożności wobec rozszerzeń oraz regularnych aktualizacji oprogramowania.