2026 年 4 月 1 日,Google 緊急發布了 Chrome 146 的帶外更新,修補了一個編號為 CVE-2026-5281 的嚴重零日漏洞。這已經是 Chrome 在 2026 年被修補的第四個已知遭到野外利用的零日漏洞——而我們才剛過完第一季。
CVE-2026-5281 是一個存在於 Dawn 中的 use-after-free(釋放後使用)漏洞。Dawn 是 WebGPU 標準的開源跨平台實作,負責讓網頁應用程式直接存取 GPU 硬體加速能力。攻擊者只需要讓受害者訪問一個精心製作的 HTML 頁面,就能在已經被攻陷的渲染器進程中執行任意程式碼。美國網路安全暨基礎設施安全局(CISA)在同日將此漏洞加入已知被利用漏洞目錄(KEV),要求聯邦機構必須在 4 月 15 日前完成修補。
WebGPU:全新的攻擊面
這個漏洞之所以值得特別關注,不僅因為它正在被積極利用,更因為它出現在 WebGPU 這個相對新穎的技術領域。WebGPU 是為了取代 WebGL 而設計的下一代圖形 API,它賦予網頁應用程式前所未有的 GPU 存取能力。然而,更強大的硬體存取權限也意味著更大的攻擊面。Dawn 作為 WebGPU 的底層實作,任何記憶體安全問題都可能被直接利用來執行惡意程式碼。
漏洞利用正式超越釣魚攻擊
這個事件也呼應了一個更大的趨勢。根據 Cisco Talos 的報告,在 2025 年第四季度,將近 40% 的所有入侵事件是透過漏洞利用完成的,正式超越了長期佔據首位的釣魚攻擊。這個數據具有重大意義——它意味著攻擊者的策略正在轉變。與其花時間製作精緻的釣魚郵件並等待人類犯錯,直接利用軟體漏洞成為了更高效的入侵途徑。
今年四月的資安事件還不止於此。Adobe 同樣發布了 Acrobat Reader 的緊急更新,修補了 CVSS 評分高達 8.6 的 CVE-2026-34621 漏洞,同樣已被野外利用。知名硬體監控工具網站 CPUID 遭到入侵,被植入惡意執行檔並散播名為 STX RAT 的遠端存取木馬。勒索軟體集團 Anubis 聲稱從美國 Signature Healthcare 竊取了 2TB 的病患資料,該醫療系統至今仍在用紙本病歷運作並轉移救護車病患。
瀏覽器攻擊面正在指數級擴大
從我的角度來看,CVE-2026-5281 暴露了一個我們必須正視的問題:隨著網頁技術持續向底層硬體延伸(WebGPU、WebAssembly、WebNN),瀏覽器的攻擊面正在以指數級擴大。過去,瀏覽器漏洞主要集中在 JavaScript 引擎和 DOM 解析器上。現在,GPU 驅動程式、記憶體管理、甚至 AI 推理引擎都成了潛在的攻擊向量。
對於開發者和 IT 管理者,我有三個建議。第一,立即確認你的 Chrome 瀏覽器已更新至 146.0.7680.178 以上的版本。第二,重新評估你的瀏覽器更新策略——在零日漏洞頻繁出現的 2026 年,「每月更新」已經不夠,你需要啟用自動更新並定期驗證。第三,也是最重要的,開始關注你的 Web 應用程式使用了哪些新的瀏覽器 API。WebGPU 帶來了強大的能力,但也帶來了全新的風險。在沒有充分理解安全影響的情況下啟用這些功能,等同於為攻擊者敞開大門。
瀏覽器安全已經不是「定期更新就好」的時代了。2026 年的第四個 Chrome 零日漏洞告訴我們:這是一場持續的軍備競賽,而防守方不能有任何鬆懈。