一、问题:WebGPU底层实现出现高危缺陷,已被用于现实攻击 谷歌在安全公告中称,Chrome 浏览器的 WebGPU(Dawn)组件存在编号为 CVE-2026-5281 的“零日”漏洞,并确认涉及的利用代码已在网络环境中出现;“零日”指漏洞在补丁发布前就已被攻击者掌握并可能投入使用,通常特点是突发性强、影响范围广。谷歌已在桌面端稳定版推出紧急修复:macOS 版本为 146.0.7680.177/178,Linux 版本为 146.0.7680.177,Windows 端也已同步更新。 二、原因:内存“释放后使用”类错误与新型图形能力叠加,扩大可被攻击面 从公开的项目提交记录看,该漏洞属于 Dawn 组件中的“释放后使用”(Use-after-free)内存错误。这类问题通常发生在对象已被释放但仍被程序引用的情况下,攻击者可通过构造异常数据流触发崩溃、破坏数据,甚至引发更复杂的非预期行为。 需要注意的是,WebGPU 作为面向网页的图形与通用计算接口,用于提升浏览器中的图形渲染和并行计算能力。能力增强带来更复杂的调用链和交互路径,一旦底层实现出现缺陷,就可能被利用为进入系统的突破口。 三、影响:浏览器“入口属性”决定风险外溢,企业与个人均需警惕 浏览器连接政务服务、金融支付、办公系统和个人数据,是典型的高价值入口。漏洞一旦被利用,轻则出现页面异常、显示错误或浏览器崩溃,重则可能被用于投递恶意载荷、窃取敏感信息或建立持续控制。 谷歌未披露攻击细节,并表示为避免在更多用户完成更新前被更滥用,将限制公开部分技术细节和相关链接。这符合“负责任披露”的常见做法:在补丁覆盖不足时控制信息扩散,降低被大规模复制利用的风险。 四、对策:尽快更新补丁,机构侧同步推进终端治理与监测 谷歌提示更新可能需要数天至数周完成全面推送,但补丁已可获取。普通用户应尽快升级 Chrome,或确保自动更新开启并在下次启动时完成安装。企业和机构用户建议将浏览器更新纳入统一的终端补丁管理流程,优先覆盖关键岗位与高权限终端;同时加强访问控制与异常行为监测,关注浏览器崩溃频发、GPU 相关进程异常、可疑脚本行为等信号。使用 WebGPU 相关业务的开发者和平台方,也应开展兼容性与安全回归测试,避免在优化性能时忽视安全边界。 五、前景:零日修复频次上升,安全治理需从“被动修补”转向“体系化防护” 公开信息显示,这是今年以来谷歌修复的第四个已被用于现实攻击的 Chrome “零日”漏洞。此前,CSS 相关实现、图形库 Skia,以及 V8 与 WebAssembly 等关键组件也出现过被利用案例。随着浏览器迭代加快、功能边界持续扩张,攻击者也在不断寻找从脚本引擎、图形渲染到多媒体处理等链路中的可乘之机。 未来一段时间,浏览器安全风险仍可能保持高频,并呈现链条化特征:单点漏洞可能与社会工程、恶意广告投放或供应链风险叠加,形成更隐蔽的攻击路径。各方应将安全投入前移,完善自动化漏洞挖掘、灰度发布与快速回滚机制,并通过最小权限、分层隔离等工程手段,尽量压缩漏洞被利用后的扩散空间。
数字化进程不断加速,此次事件再次提醒我们:系统不存在“绝对安全”,防护需要持续迭代。技术创新越快,功能扩展与安全保障之间的平衡就越关键。对普通用户而言,及时更新与基本的安全习惯,仍是守护数字生活的重要防线。