IT之家10月18日消息，微軟今日在安全社區(qū)博客發(fā)布了題為《保護瀏覽器時代 - 從云到人工智能：關于保護現(xiàn)代工作空間的博客系列》的文章，指出瀏覽器在數(shù)字世界中的地位愈發(fā)重要，確保其安全防護能力已刻不容緩。

微軟表示，瀏覽器已成為云計算、AI與軟件即服務（SaaS）的“通用工作空間”，未來的應用也會更“以瀏覽器為中心”。數(shù)據(jù)顯示，普通企業(yè)平均要通過瀏覽器訪問106個SaaS應用，用戶每天在瀏覽器中花費的時間多達6小時37分鐘。

瀏覽器高頻使用有多重原因：它與硬件無關、訪問方式通用、無需復雜安裝，而且AI已深度融入使用體驗。正因如此，企業(yè)必須重視瀏覽器已成為黑客眼中極具價值的攻擊目標這一現(xiàn)實。

據(jù)IT之家了解，微軟列出了多種常見威脅類型：

網(wǎng)絡釣魚與社會工程2.0：仿冒正規(guī)網(wǎng)站、彈窗、深度偽造、二維碼等手段仍很常見。

惡意OAuth應用與同意釣魚：攻擊者利用合法驗證流程非法獲取訪問權(quán)限，這種風險常被低估。

會話劫持與令牌竊取：涉及弱密碼、脆弱的多因素認證、忽略警告或管理不善的Cookie。

零日漏洞、沙盒逃逸與引擎漏洞：高級惡意軟件可能突破隔離機制，直接控制系統(tǒng)。

惡意擴展與插件：部分擴展會在用戶不知情的情況下竊取敏感數(shù)據(jù)。

規(guī)避與數(shù)據(jù)走私攻擊：攻擊者利用網(wǎng)絡層檢測與瀏覽器呈現(xiàn)內(nèi)容間的差異，通過混淆、碎片化傳輸或臨時域名繞過安全過濾。

“瀏覽器中間人”攻擊：通過鍵盤記錄、憑證竊取或會話劫持竊取信息。

點擊劫持與界面欺騙：利用透明覆蓋層誘導用戶誤點。

供應鏈漏洞與受信組件被篡改：受損的第三方庫、網(wǎng)頁資源、擴展商店或證書被濫用。

高權(quán)限API與用戶數(shù)據(jù)泄露：瀏覽器開放的強大接口也可能被黑客利用。

集成AI的瀏覽器風險：提示注入、上下文泄露及數(shù)據(jù)外泄正成為新的攻擊方向。

微軟警告稱，盡管瀏覽器使用量持續(xù)上升，但安全防護機制明顯滯后。隨著企業(yè)在更多業(yè)務場景中依賴瀏覽器，安全問題必須提升到戰(zhàn)略高度。

參考

本文僅代表作者觀點，版權(quán)歸原創(chuàng)者所有，如需轉(zhuǎn)載請在文中注明來源及作者名字。

免責聲明：本文系轉(zhuǎn)載編輯文章，僅作分享之用。如分享內(nèi)容、圖片侵犯到您的版權(quán)或非授權(quán)發(fā)布，請及時與我們聯(lián)系進行審核處理或刪除，您可以發(fā)送材料至郵箱：service@tojoy.com