Chrome อุดช่องโหว่ด่วน! ส่วนขยายตัวแสบ แอบสิงร่าง Gemini เข้าถึงไฟล์-กล้อง

งานเข้าชาว Chrome ที่ชอบลงส่วนขยาย (Extension) แบบไม่ดูตาม้าตาเรือซะแล้ว เมื่อนักวิจัยความปลอดภัยจากทีม Unit 42 ของ Palo Alto Networks ได้ออกมาเปิดเผยถึงช่องโหว่ระดับร้ายแรง (High-severity) ใน Google Chrome ที่เปิดช่องให้เหล่า Extension ตัวร้าย สามารถเข้าไปยึดครองการทำงานของฟีเจอร์ AI ลูกรักอย่าง Gemini Live ได้แบบเบ็ดเสร็จ

ช่องโหว่นี้มีรหัสว่า CVE-2026-0628 ซึ่งเกิดจากความผิดพลาดในการจัดการ Network Rules ของตัว Browser เอง ทำให้ Extension ที่ดูเหมือนจะขอสิทธิ์ธรรมดา ๆ สามารถดักจับและแทรกแซงข้อมูลที่วิ่งไปยัง Gemini panel ได้ ส่งผลให้แฮกเกอร์สามารถฝัง JavaScript ของตัวเองเข้าไปทำงานในพื้นที่ของ AI ได้สำเร็จ

ประเด็นที่น่ากลัวคือ Gemini Live นั้นไม่ได้เป็นแค่ Chatbot ธรรมดา แต่มันถูกออกแบบมาให้ "รู้ลึกรู้จริง" เกี่ยวกับเครื่องของเรา โดยมีสิทธิ์เข้าถึงทั้งการจับภาพหน้าจอ (Screenshot), อ่านไฟล์ในเครื่อง, หรือแม้แต่เปิดใช้งานกล้องและไมโครโฟนเพื่อรับคำสั่ง

เมื่อ Extension ตัวร้ายสามารถ "สิงร่าง" หรือ Hijack แผงควบคุมของ Gemini ได้ มันจึงได้รับมรดกตกทอดเป็นสิทธิ์การเข้าถึงทั้งหมดนั้นไปด้วย (Privilege Escalation) ลองนึกภาพว่าส่วนขยายเถื่อนสามารถแอบเปิดกล้องหรือค้นไฟล์เอกสารลับของคุณได้โดยที่คุณไม่รู้ตัว เพราะมันทำงานภายใต้หน้ากากของฟีเจอร์ AI ที่น่าเชื่อถือนั่นเอง

อย่างไรก็ตาม ข่าวดีคือทาง Google ได้ทำการปิดช่องโหว่นี้ไปเรียบร้อยแล้วตั้งแต่ต้นเดือนมกราคมที่ผ่านมา ในอัปเดต Chrome เวอร์ชัน 143 (143.0.7499.192/193) ดังนั้นใครที่ตั้งค่าอัปเดตอัตโนมัติไว้ก็น่าจะรอดตัวไปแบบหวุดหวิด

เหตุการณ์นี้ถือเป็นเครื่องตอกย้ำคำเตือนของ Gartner ที่เคยบอกไว้ว่า Browser ยุคใหม่ที่พยายามยัดเยียดความฉลาดแบบ AI (Agentic Browsers) เข้ามามากเกินไป อาจกลายเป็นดาบสองคมที่เปิดประตูบ้านให้โจรเข้าถึงข้อมูลลึก ๆ ในระบบได้ง่ายขึ้น ยิ่ง AI เก่งเท่าไหร่ ระบบความปลอดภัยก็ต้องรัดกุมขึ้นเป็นเงาตามตัว ไม่งั้นความสะดวกสบายอาจแลกมาด้วยความหายนะของข้อมูลส่วนตัวครับ