ចំណុចខ្សោយរបស់ Chrome Gemini អនុញ្ញាតឱ្យអ្នកវាយប្រហារចូលប្រើកាមេរ៉ា និងមីក្រូហ្វូនរបស់ជនរងគ្រោះពីចម្ងាយ

ចំណុចខ្សោយសុវត្ថិភាពធ្ងន់ធ្ងរមួយត្រូវបានរកឃើញនៅក្នុងជំនួយការ Gemini AI ដែលភ្ជាប់មកជាមួយរបស់ Google Chrome ដែលធ្វើឱ្យអ្នកប្រើប្រាស់ងាយរងគ្រោះដល់ការចូលប្រើកាមេរ៉ា និងមីក្រូហ្វូនដោយគ្មានការអនុញ្ញាត ការលួចឯកសារក្នុងស្រុក និងការវាយប្រហារតាមបែប phishing ដោយមិនតម្រូវឱ្យមានអន្តរកម្មពីអ្នកប្រើប្រាស់ក្រៅពីការបើកដំណើរការបន្ទះ AI ដែលភ្ជាប់មកជាមួយកម្មវិធីរុករកនោះទេ។

កំហុសឆ្គងនេះត្រូវបានរកឃើញដោយអ្នកស្រាវជ្រាវនៅអង្គភាពទី 42 របស់ Palo Alto Networks ហើយត្រូវបានបង្ហាញដោយការទទួលខុសត្រូវដល់ Google នៅថ្ងៃទី 23 ខែតុលា ឆ្នាំ 2025។ Google បានបញ្ជាក់ពីបញ្ហានេះ ហើយបានចេញផ្សាយបំណះមួយនៅថ្ងៃទី 5 ខែមករា ឆ្នាំ 2026 មុនពេលបង្ហាញជាសាធារណៈ។

Gemini Live នៅក្នុង Chrome គឺជាផ្នែកមួយនៃថ្នាក់ "កម្មវិធីរុករកតាមអ៊ីនធឺណិត AI" ដែលកំពុងរីកចម្រើន ដែលបង្កប់ជំនួយការ AI ដោយផ្ទាល់ទៅក្នុងបរិយាកាសរុករក។ ជំនួយការទាំងនេះ ដែលរួមមាន Microsoft Copilot នៅក្នុង Edge និងផលិតផលឯករាជ្យដូចជា Atlas និង Comet ដំណើរការជាបន្ទះចំហៀងដែលមានសិទ្ធិ ដែលមានសមត្ថភាពសង្ខេបគេហទំព័រតាមពេលវេលាជាក់ស្តែង ស្វ័យប្រវត្តិកម្មភារកិច្ច និងជំនួយរុករកតាមបរិបទ។

ដោយសារតែបន្ទះ AI ទាំងនេះត្រូវការទិដ្ឋភាព "ពហុម៉ូឌុល" នៃអេក្រង់របស់អ្នកប្រើប្រាស់ដើម្បីដំណើរការប្រកបដោយប្រសិទ្ធភាព Chrome ផ្តល់សិទ្ធិកម្រិតខ្ពស់ដល់បន្ទះ Gemini រួមទាំងការចូលប្រើកាមេរ៉ា មីក្រូហ្វូន ឯកសារក្នុងស្រុក និងសមត្ថភាពរូបថតអេក្រង់។ ស្ថាបត្យកម្មដែលមានសិទ្ធិនេះ ខណៈពេលដែលបើកដំណើរការមុខងារដ៏មានអានុភាព ក៏ពង្រីកផ្ទៃវាយប្រហាររបស់កម្មវិធីរុករកយ៉ាងខ្លាំងផងដែរ។

ចំណុចខ្វះខាតស្ថិតនៅក្នុងរបៀបដែល Chrome ដោះស្រាយ API ប្រកាស NetRequest ដែលជាការអនុញ្ញាតផ្នែកបន្ថែមកម្មវិធីរុករកស្តង់ដារដែលអនុញ្ញាតឱ្យផ្នែកបន្ថែមស្ទាក់ចាប់ និងកែប្រែសំណើ និងការឆ្លើយតបគេហទំព័រ HTTPS។ API នេះត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយសម្រាប់គោលបំណងស្របច្បាប់ ដូចជាការទប់ស្កាត់ការផ្សាយពាណិជ្ជកម្មជាដើម។

អ្នកស្រាវជ្រាវបានរកឃើញភាពខុសគ្នាដ៏សំខាន់មួយនៅក្នុងរបៀបដែល Chrome បានដំណើរការសំណើទៅកាន់ hxxps[:]//gemini.google[.]com/app។ នៅពេលដែល URL នោះផ្ទុកនៅខាងក្នុងផ្ទាំងកម្មវិធីរុករកធម្មតា ផ្នែកបន្ថែមអាចស្ទាក់ចាប់ និងចាក់ JavaScript ចូលទៅក្នុងវា ប៉ុន្តែវាមិនមានសិទ្ធិពិសេសទេ។

ទោះជាយ៉ាងណាក៏ដោយ នៅពេលដែល URL ដូចគ្នាផ្ទុកនៅខាងក្នុងបន្ទះកម្មវិធីរុករក Gemini Chrome នឹងភ្ជាប់វាជាមួយនឹងសមត្ថភាពកម្រិតខ្ពស់កម្រិតកម្មវិធីរុករក។

ដោយទាញយកប្រយោជន៍ពីភាពមិនស៊ីសង្វាក់គ្នានេះ ផ្នែកបន្ថែមព្យាបាទដែលប្រើតែការអនុញ្ញាតជាមូលដ្ឋានអាចចាក់កូដ JavaScript ដោយបំពានទៅក្នុងបន្ទះ Gemini ដែលមានឯកសិទ្ធិ ដោយប្លន់យកសមាសធាតុកម្មវិធីរុករកដែលទុកចិត្ត និងទទួលមរតកការចូលប្រើកម្រិតខ្ពស់ទាំងអស់របស់វា។

អនុញ្ញាតឱ្យចូលប្រើកាមេរ៉ា និងមីក្រូហ្វូន

ហានិភ័យនៃការបន្លំតាមអ៊ីនធឺណិត (phishing) គឺមានគ្រោះថ្នាក់ជាពិសេស ពីព្រោះបន្ទះ Gemini គឺជាសមាសធាតុដែលគួរឱ្យទុកចិត្ត និងរួមបញ្ចូលជាមួយកម្មវិធីរុករក។ ខ្លឹមសារព្យាបាទដែលបង្ហាញនៅក្នុងវាមានភាពស្របច្បាប់ដែលទំព័របន្លំតាមអ៊ីនធឺណិតដាច់ដោយឡែកខ្វះ។

ការវាយប្រហារដែលមានមូលដ្ឋានលើផ្នែកបន្ថែមត្រូវបានចាត់ទុកថាជាប្រវត្តិសាស្ត្រមានហានិភ័យទាបជាង ដោយសារតែតម្រូវការជាមុនដែលពាក់ព័ន្ធនឹងការដំឡើងផ្នែកបន្ថែមព្យាបាទ។ ទោះជាយ៉ាងណាក៏ដោយ ការរួមបញ្ចូលបន្ទះ AI ដែលមានឯកសិទ្ធិផ្លាស់ប្តូរការគណនានេះជាមូលដ្ឋាន។

ចំនួនផ្នែកបន្ថែមព្យាបាទដែលដាក់ពង្រាយទៅកាន់ហាងលក់គេហទំព័រកម្មវិធីរុករកបានកើនឡើងគួរឱ្យកត់សម្គាល់ក្នុងប៉ុន្មានឆ្នាំថ្មីៗនេះ។ ជាច្រើនត្រូវបានដកចេញយ៉ាងឆាប់រហ័ស ប៉ុន្តែមិនមែនមុនពេលទៅដល់អ្នកប្រើប្រាស់រាប់ពាន់នាក់នោះទេ។

លើសពីនេះ ផ្នែកបន្ថែមស្របច្បាប់ត្រូវបានគេលួចចូល ឬលក់ទៅឱ្យជនគំរាមកំហែងដែលបានរុញការអាប់ដេតព្យាបាទទៅកាន់ចំណុចបញ្ចប់ដែលបានដំឡើងរួចហើយ ដោយប្រែក្លាយឧបករណ៍ដែលគួរឱ្យទុកចិត្តទៅជាអាវុធស្ងាត់។

នៅក្នុងបរិយាកាសសហគ្រាស ផ្នែកបន្ថែមដែលរងការសម្របសម្រួលដែលអាចចូលប្រើកាមេរ៉ា មីក្រូហ្វូន និងឯកសារក្នុងស្រុករបស់កម្មករតំណាងឱ្យហានិភ័យសន្តិសុខរបស់អង្គការធ្ងន់ធ្ងរ ដែលមានសក្តានុពលសម្រាប់ការចារកម្មសាជីវកម្ម និងការលួចយកទិន្នន័យ។

Google បានចេញការជួសជុលមួយនៅថ្ងៃទី 5 ខែមករា ឆ្នាំ 2026 បន្ទាប់ពីការបង្ហាញដោយមានការទទួលខុសត្រូវ។ អ្នកប្រើប្រាស់ដែលដំណើរការ Chrome កំណែចុងក្រោយបំផុតត្រូវបានការពារ។ អង្គការនានាគួរតែធានាថា Chrome ត្រូវបានធ្វើបច្ចុប្បន្នភាពនៅទូទាំងចំណុចបញ្ចប់ទាំងអស់ភ្លាមៗ។