技术说明
V8中的越界读写漏洞(Chrome的JavaScript和WebAssembly引擎)允许远程攻击者通过精心构造的HTML页面在浏览器沙箱内执行任意代码。谷歌确认了主动利用并在Chrome 149.0.7827.102/103中发布了补丁。CISA于2026年6月9日将该CVE添加到其KEV目录。V8漏洞对AI相邻环境令人担忧,因为基于浏览器的LLM接口、WebGPU模型推理和基于Electron的AI编码代理(Cursor、Claude Code桌面)都运行在Chromium/V8之上。
攻击途径
受害者访问攻击者控制或被破坏的网页;精心构造的JavaScript触发V8中的越界内存访问,在Chrome渲染器沙箱内实现代码执行。威胁行为者可能链接沙箱逃逸以实现完整设备妥协。
受影响系统
Windows/macOS上版本149.0.7827.103之前的谷歌Chrome以及Linux上的149.0.7827.102;以及微软Edge、Brave、Opera、Vivaldi和任何尚未接收更新的基于Chromium的浏览器或Electron应用——包括构建在Electron之上的AI编码代理。
缓解措施
立即更新Chrome至149.0.7827.102/.103;不要等待自动更新。企业团队应通过策略推送更新并验证运行中的进程已重启。基于Electron的AI编码工具(Cursor、Claude Code桌面应用、VS Code)维护自己的Chromium构建,必须独立更新——检查每个供应商的发布说明。