Chromium 未修漏洞遭意外公開，API 金鑰刪除後仍可使用長達 23 分鐘

2026 / 05 / 26

編輯部

Chromium 未修漏洞遭意外公開，API 金鑰刪除後仍可使用長達 23 分鐘

Google 近期接連傳出兩起安全事件：其一是 Chromium 瀏覽器一項尚未完全修補的漏洞細節意外外洩；其二是研究人員發現，Google Cloud Platform（GCP）的 API 金鑰在刪除後仍可能繼續通過認證，最長可達 23 分鐘。這兩起事件都可能對大量使用者帶來潛在風險。

Chromium 漏洞細節意外公開，跨 Chromium 系瀏覽器皆受影響

安全研究員 Lyra Rebane 於 2022 年 12 月回報一項 Chromium 漏洞，Google 隨即確認問題屬實。該漏洞可能使 JavaScript（JS）在瀏覽器關閉後仍於背景持續執行，並可能遭遠端利用，在目標裝置上執行程式碼。

攻擊者可建立惡意網頁，並搭配一個永不終止的 Service Worker（例如下載任務）觸發此漏洞，進而在訪客裝置上遠端執行 JavaScript 程式碼。Rebane 在原始漏洞報告中指出，攻擊者只要累積數萬次頁面瀏覽量，就可能藉此組建殭屍網路，而使用者仍渾然不覺。可能的攻擊情境包括利用受感染的瀏覽器發動分散式阻斷服務攻擊（DDoS）、代理惡意流量，或任意將流量導向目標網站。

此漏洞影響所有以 Chromium 為基礎的瀏覽器，包括 Google Chrome、Microsoft Edge、Brave、Opera、Vivaldi 及 Arc。

2024 年 10 月，一名 Google 開發人員注意到該問題仍未解決，並將其描述為需儘速跟進的「嚴重漏洞」。今年 2 月 10 日，該問題曾被標記為已修復，但數分鐘後又因多項疑慮而重新開啟。由於涉及安全性，漏洞被移交至 Chrome Vulnerability Rewards Program（VRP）Panel 處理，並於 2 月 12 日再次被標記為已修復；然而，修補程式並未正式發布。自動化系統隨後通知 Rebane，她獲得 1,000 美元的漏洞獎金。

由於該漏洞在系統中被標記為已修復並關閉超過 14 週，Chromium Issue Tracker 於 5 月 20 日移除了所有存取限制。同日，Rebane 測試後發現，問題在 Chrome Dev 150 與 Edge 148 中依然存在。她隨後在 Mastodon 發文指出，該漏洞不僅尚未修復，最新版 Edge 甚至不再出現下載彈出視窗，使整個攻擊過程更為無聲無息；使用者僅需造訪一次網站，攻擊者即可讓 JavaScript 在瀏覽器關閉後仍持續執行。

雖然相關資訊在揭露後很快被重新設為私密，但公開時間已足以造成資訊外洩。專家表示，Google 的意外公開將使漏洞利用「相當容易」，但要擴大規模成為大型殭屍網路仍較為複雜。但也澄清，此漏洞不會繞過瀏覽器安全邊界，攻擊者無法藉此存取受害者的電子郵件、檔案或主機作業系統。

GCP API 金鑰刪除後仍可繼續使用，最長達 23 分鐘

比利時新創公司 Aikido Security 的研究員 Joe Leon 近期發現，GCP 的 API 金鑰在使用者執行刪除操作後，並不會立即失效。

Leon 進行一系列測試後發現，撤銷時間範圍（Revocation Window）的中位數約為 16 分鐘、最長可達 23 分鐘；在此期間，API 金鑰仍可成功完成認證。他指出，若目標專案啟用了 Gemini，攻擊者可能藉此匯出使用者上傳的檔案，並竊取快取的對話內容。GCP 控制台不會顯示該金鑰，也不會提示金鑰仍在運作中；使用者只能等待 Google 的基礎架構最終完成同步更新。

Leon 表示，這項研究的靈感來自 Offensai 共同創辦人 Eduard Agavriloae 去年發布、關於 AWS 憑證撤銷延遲的研究。相較之下，AWS 的延遲時間僅約四秒，且 AWS 已針對此問題作出回應；Google API 金鑰的撤銷視窗則明顯更長。

Aikido 研究團隊在兩天內於不同 GCP 區域的虛擬機器（VM）上進行 10 次測試：刪除 API 金鑰後，研究人員以每秒最多五次的頻率持續發送認證請求，以觀察金鑰在刪除後仍維持有效的時間。結果顯示，各次試驗的認證成功率差異很大：其中一次在刪除後一分鐘仍有 79% 的認證成功率，另一次則僅有 5%。此外，不同 GCP 區域之間也出現顯著差異：位於 asia-southeast1 的 VM 在一分鐘後的認證成功率中位數約為 22%，us-east1 與 europe-west1 則約為 49%。Leon 指出，差異主要取決於請求發起方的地理位置，與客戶所在地無關，但背後原因仍不明確。

GCP 的刪除介面上顯示「金鑰一旦刪除，即無法再用於 API 請求」，但 Leon 認為此說明與實際情況不符，導致客戶無從得知金鑰何時才會真正失效。並表示，這樣的撤銷視窗會破壞資安事件回應團隊既有的處理模式：這些團隊通常預期按下「刪除」後憑證會立即失效，但實際上 GCP 憑證在刪除後仍可能在一段時間內對攻擊者有效。

Google 在其他類型憑證上的撤銷速度更快：服務帳戶（Service Account）刪除的傳播時間約五秒，Gemini 新版 API 金鑰格式的完整撤銷時間約一分鐘，顯示縮短撤銷視窗在技術上並非不可行。

針對此問題，Aikido 建議安全團隊與事件回應人員採取以下防護措施：