Google 公布漏洞代码：Chromium 内核浏览器的亿级用户危机

2026年5月，一个震惊安全社区的消息传来：Google 居然主动在自己官方的漏洞项目仓库里，公布了一个已经存在了整整 29 个月的漏洞利用代码。这个漏洞影响的不只是 Google Chrome，还包括 Microsoft Edge、Opera、Brave 等所有基于 Chromium 内核的浏览器——全球数以亿计的用户都暴露在风险之中。

这件事在安全圈引发了一场不小的地震。Google 一直是安全领域的标杆公司，"Project Zero" 团队以"零日漏洞猎手"闻名业界。但这一次，它的行为让很多人感到困惑：为什么要公开一个还没来得及被广泛修复的漏洞利用代码？

29 个月的"隐形炸弹"

这个故事的起点，是一个在 Chromium 代码库中存在了 29 个月的安全漏洞。

根据安全研究者的分析，这个漏洞的利用代码在 2024 年初就已经被提交到了 Google 的 oss-fuzz 项目——这是一个用于自动发现开源软件漏洞的服务。问题在于，这段代码虽然成功触发了漏洞，但一直没有被修复。漏洞就这么静静地躺在代码库里，时间一天天过去，补丁始终没有到来。

直到 2026 年 5 月，Google 突然将这段漏洞利用代码公开了。

这里需要解释一个背景：Google 有个政策，对于漏洞，从发现到公开的"宽限期"是 90 天。意思是，如果一个漏洞在被发现 90 天后还没有被修复，Google 就会把漏洞详情公开，以推动修复进程。这个政策的目的是避免漏洞被长期隐瞒，同时给开发者足够的修复时间。

但 29 个月——将近两年半——远远超过了 90 天的期限。这意味着，在这么长的时间里，任何人都可以从 oss-fuzz 项目里看到这段漏洞利用代码，而 Chromium 内核的各路浏览器厂商，可能根本没有意识到自己的产品存在这个漏洞。

安全专家的说法是：这段代码在 oss-fuzz 里是"公开"的，但它被设计用来发现漏洞，而非主动利用。所以问题不在于代码被"窃取"，而在于——这么长的时间里，为什么没有人修复它？

谁在裸奔？

这个漏洞影响的是 Chromium 内核浏览器，也就是以下这些：

• Google Chrome（全球使用量最大的浏览器）
• Microsoft Edge（Windows 默认浏览器，用户量巨大）
• Opera（在欧洲和亚洲有大量用户）
• Brave（主打隐私的浏览器）
• Vivaldi（小众但忠诚度高的用户群体）
• 以及众多基于 Chromium 的国产浏览器

粗略估算，受影响的用户数以亿计。当漏洞细节被公开时，安全专家们紧急呼吁：所有用户立即更新浏览器到最新版本。

这次漏洞的严重程度被标记为"高危"。攻击者如果成功利用这个漏洞，可以：

• 在用户不知情的情况下执行恶意代码
• 绕过浏览器的安全沙箱
• 窃取用户数据或 cookies
• 进行跨站脚本攻击（XSS）

这意味着，只要你用着上述任何一款浏览器，访问了一个被植入恶意代码的网页，你的电脑就可能被攻破。整个过程悄无声息——你不会看到任何提示，也不会感觉到任何异常。

Google 为何此时公布？

安全社区对此事件的第一个反应是困惑：Google 为什么选择在这个时间点公开漏洞代码？

通常来说，科技公司公开漏洞代码有两种情况：一是漏洞已经被修复，公开是为了帮助其他开发者学习和防御；二是漏洞已经存在太久，超过了合理的安全响应时间，公开是为了推动修复。

这次的情况更像是后者——漏洞存在了 29 个月后，Google 似乎决定不再等待，直接把代码公开。

但这个解释并不能让所有人信服。

有安全研究者指出，Google 的漏洞公开政策原本是为了保护用户——通过 90 天的宽限期，迫使开发者尽快修复漏洞。但这个机制有效的前提是：被发现的漏洞确实会在 90 天内被修复。

如果一个漏洞可以在代码库里躺 29 个月而不被修复，那 90 天的政策实际上形同虚设。这说明漏洞响应流程的某个环节出了问题——要么是漏洞被遗漏了，要么是优先级排不上去，要么是修复过程中的某个步骤卡住了。

更深层的问题是：还有多少漏洞藏在开源代码库里，等待被发现或公开？

用户该怎么办？

无论背后的原因是什么，对于普通用户来说，行动指南很简单：现在就去更新你的浏览器。

具体操作：

• Chrome：打开浏览器 → 点击右上角三个点 → 帮助 → 关于 Chrome → 自动检查更新 → 重启
• Edge：打开浏览器 → 点击右上角三个点 → 帮助和反馈 → 关于 Microsoft Edge → 自动更新
• Opera/Brave/Vivaldi：打开浏览器 → 前往设置 → 关于页面 → 检查更新

更新完成后，浏览器版本应该已经包含了安全补丁。如果你不确定自己的浏览器版本，可以在"关于"页面查看。

另外，有安全专家建议：

• 禁用不必要的浏览器扩展：扩展是浏览器攻击面的重要组成部分，安装越多的扩展，被攻击的风险越高
• 开启浏览器的自动更新：确保以后不会再错过任何安全补丁
• 谨慎点击链接：尤其是来自邮件或社交媒体的陌生链接，它们可能导向被植入恶意代码的网页

为什么开源不等于安全

这个事件还有一个值得深思的层面：开源软件的安全性。

有一种常见的误解是：开源软件因为代码公开、全世界都在看，所以一定比闭源软件更安全。Chromium 这次的事件对这个假设提出了挑战。

事实上，代码公开不等于有人看，更不等于有人修复。oss-fuzz 的自动化测试发现了漏洞，但没有人去修复它。这说明开源项目的安全响应，很大程度上依赖项目维护者的主动性和资源投入。当一个开源项目用户量巨大但维护资源有限时，漏洞被忽视的风险就会增加。

另一方面，漏洞的公开也带来了风险。攻击者现在知道了漏洞的存在，可以针对性地开发攻击工具。虽然补丁已经发布，但总有一些用户不会及时更新——这些用户就成了最脆弱的目标。

总结

Google 公布 Chromium 漏洞代码这件事，表面上是一次安全政策的执行，实际上暴露了漏洞响应流程中的深层问题：在开源生态里，"公开"不等于"修复"，"发现"不等于"响应"。

对于普通用户，这件事的教训很简单：更新你的浏览器，不要等到出事才后悔。在这个漏洞已被公开的时代，你的浏览器版本可能就是一道防线——而这道防线的质量，取决于你是否愿意花两分钟点一下"检查更新"。

安全，从来不是一件可以一劳永逸的事。

参考来源：

• Ars Technica: Google publishes exploit code threatening millions of Chromium users
• Chromium Project Zero and oss-fuzz public repositories