이 중요한 Chrome 브라우저 취약점으로 인해 악성 확장 프로그램이 PC를 감시할 수 있습니다.

새로운 보고서에 따르면 챗봇은 Chrome에서 비밀번호를 훔칠 수 있습니다.

ZDNET

ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.


ZDNET의 주요 시사점

  • 연구원들은 Chrome의 Gemini 기능에서 심각도가 높은 버그를 발견했습니다.
  • 이는 확장 프로그램에 사용자를 감시하거나 데이터를 훔칠 수 있는 기능을 부여합니다.
  • 지금 업데이트하세요.

Google Chrome의 Gemini 에이전트 AI 기능에 영향을 미치는 새로운 취약점이 공개되었습니다. 이제 패치를 통해 보호 상태를 유지하세요.

또한: MIT 연구에 따르면 AI 에이전트는 빠르고 느슨하며 통제 불능입니다.

Palo Alto Networks Unit 42 팀의 수석 보안 연구원인 Gal Weizman이 공개한 브라우저 취약점은 인공 지능(AI) 에이전트 브라우저 도우미인 Google Chrome의 Gemini AI 기능에 영향을 미칩니다.

취약점 설명

CVE-2026-0628로 추적되고 심각도가 높은 것으로 간주되는 이 취약점은 브라우저 버전 143.0.7499.192 이전에는 “사용자가 악성 확장 프로그램을 설치하도록 유도한 공격자가 조작된 Chrome 확장 프로그램을 통해 권한 있는 페이지에 스크립트나 HTML을 삽입할 수 있었던” “Google Chrome의 WebView 태그에 정책 적용이 충분하지 않습니다” 문제로 설명됩니다.

또한: 사기꾼이 전화할 때 아무 말도 하지 않는 이유와 안전하게 대응하는 방법

팀은 다음을 통해 기본 권한 집합에 액세스할 수 있는 확장 프로그램을 발견했습니다. 선언적NetRequests API공격자가 새로운 Gemini 패널 브라우저 구성 요소에 JavaScript 코드를 삽입하기 위해 악용할 수 있는 권한을 부여할 수 있습니다.

연구원에 따르면 이 취약점은 Google Chrome 사용자를 표적으로 삼는 광범위한 공격 체인의 일부로 사용될 수 있습니다.

예를 들어, 공격자가 대상에게 아무런 문제가 없어 보이는 브라우저 확장 프로그램을 다운로드하여 설치하도록 유도할 수 있는 경우, 악성 확장 프로그램은 정책 문제를 악용하여 Gemini를 하이재킹할 수 있습니다. 그런 다음 AI 도우미는 사이버범죄자에게 웹캠 및 마이크에 대한 액세스 권한을 부여하고, 스크린샷을 찍고, 로컬 파일 및 디렉터리에 액세스하는 등 허가 없이 조치를 취할 수 있습니다. 피싱 목적으로 패널을 탈취할 수도 있습니다.

연구원들은 “Gemini 앱은 합법적인 목적을 위한 작업 수행에 의존하기 때문에 Gemini 패널을 하이재킹하면 확장 프로그램이 일반적으로 가질 수 없는 시스템 리소스에 대한 권한 있는 액세스를 허용합니다”라고 말했습니다.

안전을 유지하는 방법

작년 10월 Palo Alto Networks가 Google에 비공개로 공개한 이후, 버그를 분류하고, 복제하고, 패치하는 것은 팀의 몫이었습니다.

Google Chrome의 1월 패치 노트에 포함된 Chrome 보안 팀은 수정 사항을 개발하여 143.0.7499.192/.193 Windows 및 macOS 안정 채널(Linux의 경우 143.0.7499.192)에 포함했습니다. 이후 범위를 벗어난 버그와 같은 취약점에 대한 수정 사항을 포함하여 추가 보안 패치가 출시되었습니다.

또한: 파괴된 서버 및 DoS 공격: OpenClaw AI 에이전트가 상호 작용할 때 발생할 수 있는 일

가장 좋은 조언은 간단합니다. 일반적으로 데스크톱의 주소 표시줄 오른쪽에 새 버전의 Chrome을 사용할 수 있다는 알림이 표시되면 즉시 업데이트를 수락하세요. 성능 향상과 새로운 기능의 이점을 누릴 수 있을 뿐만 아니라, 이번 릴리스에 포함된 패치는 브라우저와 데이터가 손상될 위험을 완화합니다.

에이전트적 브라우저 보안 – 무엇이 중요한가요?

Agentic 브라우저는 미래의 브라우저 경험에 대한 벤치마크가 될 수 있습니다. 그러나 아직 개발이 진행되는 동안 우리는 공격 표면을 늘리고 개인정보와 데이터를 위험에 빠뜨리는 새로운 사이버 보안 문제에 직면하고 있습니다.

일반적으로 메시징 및 채팅 창을 통해 구성되는 Agentic AI 기능은 쿼리에 응답하고, 정보를 대신 소싱하고, 양식을 작성하고, 워크플로를 관리하는 데 도움을 줌으로써 가치를 제공하는 것을 목표로 합니다. 그러나 우리를 대신하여 행동할 수 있는 권한은 말할 것도 없고, 시도되지도 않고, 테스트되지도 않고, 안전하지 않은 AI 기반 도구에 온라인 계정 및 서비스에 대한 키를 제공함으로써 보안에 미치는 영향은 방어자에게 보안 악몽을 불러일으켰습니다.

또한: Microsoft와 ServiceNow의 악용 가능한 에이전트는 증가하고 예방 가능한 AI 보안 위기를 드러냅니다.

그들은 왜 걱정하는가? 오늘날 소프트웨어에 필요한 일반적인 취약점, 공개 및 패치 관리 외에도 AI 브라우저와 에이전트는 프롬프트 주입 공격에 취약할 수 있습니다. 원본 자료와 웹사이트에 악성 지침이 숨겨져 이러한 도구를 탈취하여 사용자의 민감한 정보를 넘겨주고, 감시하고, 모든 종류의 불법 활동을 수행하도록 할 수 있습니다.

신뢰의 문제도 있습니다. 개인 데이터가 있는 AI 시스템을 얼마나 신뢰해야 하며, 그것이 노출되거나 유출된다면 어떤 결과가 나올까요?

최근 MIT 연구에서는 보안 테스트와 관련하여 “빠르고 느슨한” 에이전트 AI 개발 경쟁에서 심각한 격차가 있음을 발견했습니다. 따라서 이러한 기술은 주의해서 다루어야 합니다.

또한: 이 새로운 전화 사기에는 ‘통신사’가 귀하의 기기를 교환하기 위해 전화를 걸고 있습니다. 이에 속지 마십시오.

우리는 아직 에이전트 AI가 야기할 전체 보안 위험을 확인하지 못했지만, 그 진정한 잠재력도 아직 확인하지 못했습니다. 위험의 균형을 맞추면서 이점을 관리하는 것이 진정한 과제가 될 것이며 이는 소비자와 기업 모두에게 적용됩니다.

Palo Alto Networks의 Prisma SASE 제품 관리 SVP인 Anupam Upadhyaya는 “혁신은 보안을 희생할 수 없습니다.”라고 말했습니다. “조직이 에이전트 브라우저를 배포하기로 선택한 경우 런타임 가시성, 정책 제어 강화, 강화된 가드레일이 처음부터 내장되어 있어 이를 고위험 인프라로 취급해야 합니다. 그렇지 않은 것은 타협을 초래합니다.”

관련 기사

댓글 남기기