10月18日,微软在其安全社区博客发布题为《保护浏览器时代——从云到人工智能:关于保障现代工作空间安全的博客系列》一文并指出,浏览器在数字世界中的地位日益重要,确保其安全防护能力已是当务之急。

微软在文中强调,浏览器已成为云计算、人工智能与软件即服务(SaaS)的“通用工作空间”,未来应用趋势也将更倾向于“以浏览器为核心”。数据显示,普通企业平均需要通过浏览器访问多达106个SaaS应用,用户每天在浏览器中花费的时间更是高达6小时37分钟。
这种高频使用背后有着多重原因:浏览器与硬件无关、访问方式通用、无需复杂安装,而人工智能更已作为“隐形层”深度融入使用体验。正因如此,企业必须正视浏览器已成为黑客眼中极具价值的攻击目标。
据了解,微软在报告中详细列举了以下常见威胁类型:
网络钓鱼与社会工程2.0:仿冒正规网站、恶意弹窗、深度伪造、虚假二维码等手法仍在持续演化。
恶意OAuth应用与同意钓鱼:攻击者利用合法认证流程非法获取访问权限,这类风险往往被严重低估。
会话劫持与令牌窃取:包括弱密码防护、脆弱的多因素认证机制、忽略安全警告或管理不当的会话Cookie。
零日漏洞、沙箱逃逸与引擎漏洞:高级恶意软件可能突破隔离机制,直接控制系统核心权限。
恶意扩展与插件威胁:部分扩展会在用户不知情的情况下窃取敏感数据。
规避检测与数据走私攻击:攻击者利用网络层检测与浏览器呈现内容之间的差异,通过流量混淆、碎片化传输或临时域名绕过安全过滤。
“浏览器中间人”攻击:通过键盘记录、凭证窃取或会话劫持等方式获取关键信息。
点击劫持与界面欺骗:利用透明覆盖层等视觉欺骗手段诱导用户误点击。
供应链漏洞与受信组件篡改:受损的第三方库、网页资源、扩展商店或证书可能被滥用。
高权限API与用户数据泄露:浏览器开放的强大接口若缺乏管控,同样可能被攻击者利用。
集成AI的浏览器风险:提示注入、上下文泄露及数据外泄正成为新的攻击方向。
微软警告称,尽管浏览器的使用量持续攀升,但相应的安全防护机制仍明显滞后。随着企业在更多业务场景中依赖浏览器,安全问题必须提升到战略高度加以重视。
参考
博客原文:Securing the Browser Era - From Cloud to AI: A blog series on protecting the modern workspace
