【AI复盘】浏览器扩展供应链投毒事件
Island 研究团队近日披露,Chrome Web Store 排名第 31 的广告拦截扩展 "Adblock for YouTube"(1100 万安装量)存在严重的远程代码执行能力。
该扩展申请的 <all_urls> 权限使其可以访问用户访问的每一个网站,而 URL 检查仅验证是否包含 "youtube.com" 字符串,恶意 URL 可轻松绕过。更危险的是,扩展代码中存在自 2025 年 2 月起就有的远程控制脚本注入路径,攻击者只需攻破扩展开发者服务端,即可在 1100 万浏览器中静默执行任意 JS,无需扩展更新、无需商店审核。
这次事件标志着浏览器扩展供应链攻击进入"能力投毒"新阶段——扩展本身合法上架,但含远程激活开关。
对于安全团队来说,浏览器扩展管理不能靠用户自觉,必须纳入终端安全策略,从"用户自觉"转向"强制治理"。