Google ha rilasciato una patch per Chrome all’inizio di gennaio che risolve una grave vulnerabilità (CVE-2026-0628). Gli esperti di Palo Alto Networks, che avevano segnalato il bug, hanno ora pubblicato informazioni dettagliate sul problema di sicurezza scoperto nel pannello laterale di Gemini Live.

Accesso a file, microfono e webcam

Google permette di interagire con il suo chatbot attraverso una barra laterale in Chrome. Ciò consente di sfruttare Gemini Live per ottenere assistenza contestuale, eseguire vari compiti o generare un riassunto della pagina web attiva. Gemini ha quindi un accesso privilegiato ai contenuti in modo da vedere quello che vede l’utente.

Questo accesso privilegiato può essere sfruttato dalle estensioni che non dovrebbero uscire dai confini del loro ambiente isolato. Non possono infatti interferire con altre estensioni e soprattutto ottenere il controllo su processi o componenti del browser. La vulnerabilità CVE-2026-0628 consentiva invece ad un’estensione di iniettare codice JavaScript nel pannello laterale di Gemini.

Iniettare codice nella pagina di Gemini aperta in una scheda di Chrome non comporta un accesso privilegiato, come avviene invece quando Gemini viene caricato nel pannello laterale del browser. In particolare, un’estensione potrebbe avviare fotocamera e microfono, accedere ai file presenti sul computer, scattare screenshot e mostrare contenuti di phishing.

Gli attacchi tramite estensioni sono in aumento perché i browser AI o agentici hanno introdotto nuove vulnerabilità. Spesso sembrano estensioni innocue (distribuite tramite Chrome Web Store), ma è sufficiente un aggiornamento per trasformarle in malware. Il consiglio è installare solo estensioni realmente utili da fonti affidabili. Le aziende non dovrebbero usare le funzionalità AI integrate nei browser, ma accedere alle tradizionali interfacce web dei chatbot.