AI 浏览器扩展通过提示注入窃取电子邮件、密码

AI浏览器插件通过提示注入窃取电子邮件、密码

执行摘要

Palo Alto Networks Unit 42 发现了一个涉及超过30个恶意AI驱动浏览器插件的活动，这些插件伪装成生产力工具——例如电子邮件写作助手、语法检查器和摘要生成器——但实际上秘密窃取敏感数据。这些插件拦截用户提示，刮取包括电子邮件正文和密码在内的DOM内容，并将窃取的数据传输到攻击者控制的基础设施。Unit 42 在2026年4月30日报导了这些发现，指出这些插件针对Chrome和Edge用户，并通过官方浏览器商店以及第三方来源进行分发。

技术分析

根据Unit 42的分析，恶意插件采用了一系列技术来收集数据。它们向网页注入JavaScript，拦截用户输入到AI聊天界面（例如，ChatGPT、Claude、Gemini）并捕获提示和响应。此外，插件还刮取访问页面的文档对象模型（DOM）——包括Gmail、Outlook和企业Web应用程序——以提取电子邮件内容、密码和API密钥。一些插件还通过直接针对登录表单来执行凭据收集。

在安装过程中，插件请求广泛的权限，例如“访问您在所有网站上的数据”和“读取和更改您访问的所有网站上的所有数据”，这些权限通常被用户未经审查就接受了。Unit 42的研究人员指出，这些插件使用混淆的JavaScript来逃避静态分析，并通过加密的WebSocket连接与命令和控制（C2）服务器通信。窃取的数据实时被外泄，有些插件能够捕获按键和剪贴板内容。

Unit 42没有将活动归因于特定的威胁行为者或团体，也没有分配CVE标识符，因为这是一个供应链滥用活动，而不是软件漏洞。研究人员强调，截至出版时，这些插件仍在一些商店中可用，尽管他们已经向谷歌和微软报告了这些发现。

缓解措施与建议

Unit 42建议用户和组织立即审计浏览器插件。移除任何请求超出其声明功能的权限的插件，特别是那些请求访问所有网站数据的插件。企业防御者应通过组策略强制执行批准插件的允许列表，并监控不寻常的出站WebSocket连接。用户还应避免向未知开发者的插件授予权限，并考虑使用具有受限权限的浏览器配置文件进行敏感活动，如电子邮件或财务交易。没有供应商补丁可用——缓解措施纯粹是操作性的。