Netcrook Logo
👤 LOGICFALCON
🗓️ 03 Mar 2026  

كيف كاد Gemini Live AI في Chrome أن يصبح جاسوسًا داخل متصفحك

العنوان الفرعي: ثغرة حرجة في مساعد Chrome الذكي كشفت ملايين المستخدمين للمراقبة الصامتة وسرقة البيانات - إلى أن جرى ترقيعها.

تخيّل مساعد الذكاء الاصطناعي المفيد في متصفحك - المصمّم لتلخيص صفحات الويب وأتمتة المهام - ينقلب عليك، فيلتقط لقطات شاشة بهدوء، ويسجّل صوتك، وينبش ملفاتك. هذا السيناريو الكابوسي كاد أن يصبح واقعًا لمستخدمي Chrome، بفضل خلل اكتُشف مؤخرًا في Gemini Live، الرفيق الجديد المدعوم بالذكاء الاصطناعي في المتصفح. الثغرة، التي اكتشفتها Palo Alto Networks ورُقّعت في يناير، كان يمكن أن تحوّل Gemini Live إلى عميلٍ رقمي متخفٍ، مانحةً إضافات المتصفح الخبيثة وصولًا غير مسبوق إلى عالمك الخاص.

تشريح خيانة المتصفح

Gemini Live، اللوحة الجانبية في Chrome المدفوعة بالذكاء الاصطناعي، بُنيت لتكون معزّزًا للإنتاجية - تلخّص المقالات، وتنفّذ المهام، وتفهم السياق أثناء التصفح. لكن هذه القوة جاءت مع ثمن: وصول عميق وذي امتيازات إلى بيئة التصفح لديك. عمليًا، كان Gemini Live قادرًا على رؤية والتفاعل مع معظم ما تفعله داخل Chrome.

اكتشف باحثو Palo Alto Networks أن هذا الذكاء الاصطناعي ذي الامتيازات يمكن الاستيلاء عليه بواسطة إضافة خبيثة. ارتكز الهجوم على واجهة declarativeNetRequests API، التي صُمّمت للسماح للإضافات بحظر أو تعديل طلبات الويب لأغراض السلامة، لكنها منحتها أيضًا القدرة على حقن JavaScript داخل لوحة Gemini Live. وعند إساءة استخدامها، كان ذلك يعني أن شيفرة المهاجم يمكنها التلاعب بواجهة الذكاء الاصطناعي - مما يتيح لهم قراءة الملفات، والتقاط لقطات شاشة، أو حتى تشغيل الكاميرا والميكروفون سرًا، وكل ذلك دون علمك أو موافقتك.

إن التكامل المحكم للوحة Gemini مع المتصفح يعني أن اختطافها يفتح أبوابًا تكون عادةً مغلقة أمام الإضافات. ومع وصول Gemini من نوع “يرى ما يراه المستخدم”، كان بإمكان إضافة مارقة أن تحصل عمليًا على صلاحيات المستخدم الفائق، مطمِسةً الحدود بين ذكاء اصطناعي مساعد وجاسوسٍ معادٍ. ولم يكن الخطر نظريًا فحسب: كانت هجمات التصيّد، وتهريب البيانات، والسيطرة الكاملة على جلسات التصفح الخاصة كلها احتمالات مطروحة.

بعد تلقي التنبيه في أكتوبر، تحركت Google بسرعة لترقيع الخلل في Chrome 143، فأغلقت الثغرة قبل أي استغلال واسع النطاق معروف. ومع ذلك، يسلّط الحادث الضوء على الطبيعة ذات الحدّين لدمج الذكاء الاصطناعي في البرمجيات اليومية: فكلما ازدادت هذه الأدوات قوةً وفائدة، ازدادت كارثية إخفاقاتها المحتملة.

تأملات: ثمن الراحة

هذه الواقعة تذكير صارخ بأن أمن مساعدي الذكاء الاصطناعي يصبح أمرًا حاسمًا كلما ازداد تشابكهم مع حياتنا الرقمية. إن النجاة القريبة لـ Gemini Live ينبغي أن تدفع المستخدمين والمطورين على حد سواء إلى التدقيق ليس فقط في ما يمكن للذكاء الاصطناعي أن يفعله لأجلنا - بل في ما قد يفعله بنا إذا وقع في الأيدي الخطأ. مستقبل التصفح أذكى، لكنه يجب أن يكون أكثر أمانًا أيضًا.

WIKICROOK

  • Gemini Live: Gemini Live هو مساعد Chrome الذكي الذي يتفاعل مع محتوى الويب، ويلخّص المعلومات، ويؤتمت المهام عبر الإنترنت لتجربة تصفح سلسة.
  • إضافة المتصفح: إضافة المتصفح هي ملحق صغير يعزّز ميزات المتصفح، لكنه قد يُساء استخدامه أيضًا من قبل القراصنة لسرقة البيانات أو التجسس على المستخدمين.
  • حقن JavaScript: حقن JavaScript هو أسلوب اختراق يُدخل فيه المهاجمون شيفرة خبيثة إلى تطبيقات الويب لسرقة البيانات، أو اختطاف الجلسات، أو تغيير المحتوى.
  • واجهة declarativeNetRequests API: تتيح واجهة declarativeNetRequests API لإضافات المتصفح تصفية طلبات الويب أو حظرها أو تعديلها باستخدام قواعد مُسبقة، مما يعزّز الخصوصية والأمان للمستخدمين.
  • CVE (الثغرات والتعرّضات الشائعة): CVE هو مُعرّف عام فريد لثغرة أمنية محددة، يتيح تتبعها ومناقشتها بشكل متسق عبر صناعة الأمن السيبراني.
Chrome AI assistant security vulnerability
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news