Chrome 扩展程序的本地漏洞:绕过沙箱逃逸
2025-05-01
最近发现了一个严重的Chrome扩展程序安全漏洞:恶意扩展程序可以与本地运行的模型上下文协议(MCP)服务器通信,从而绕过Chrome的沙箱机制,访问本地文件系统、Slack、WhatsApp等敏感资源,甚至完全控制主机。任何Chrome扩展程序都可能利用此漏洞,无需任何特殊权限。该漏洞源于MCP服务器通常默认情况下未启用身份验证,允许未经身份验证的访问。研究人员已成功演示了利用此漏洞访问文件系统和Slack。这突显了在本地运行MCP服务器时加强安全性的必要性,并对企业安全构成重大威胁。