開發人員Jeff Johnson 在一篇博客文章中指出，Google 在Chrome 104 中意外引入了一個bug 。由於一個權限設置失誤，導致網站無需獲准用戶許可、即可將相關內容寫入系統剪貼板。雖然Safari 和Firefox 也有類似的功能，但至少Apple 和Mozilla 有設置相應的防護措施。

據悉，剪貼板是操作系統上的一個臨時存儲空間。但由於常用於復制/ 粘貼的中轉站，剪貼板很可能涉及銀行賬號、加密貨幣錢包字符串、以及密碼等敏感信息。

當用戶選擇從網頁上複製一段文本時，某些網站可能會加上額外的內容—— 比如當前頁面的網址（URL）—— 而沒有任何可見的指示或交互。

若被任意內容覆蓋這個臨時存儲空間，用戶將面臨較高的風險，導致其成為潛在惡意活動的受害者。

Jeff Johnson 在博客文章中強調—— 所有支持剪貼板寫入的Web 瀏覽器，都具有較差且不充分的防護措施。

舉個例子，攻擊者可能引誘用戶訪問冒充合法加密貨幣服務的特製網站。當用戶嘗試付款、並將錢包地址複製到剪貼板時，該bug 或導致相關信息被篡改。

（通過BleepingComputer）

雖然許多剪貼板API 交互都是通過Ctrl+C 這樣的快捷鍵實現的，但在許多情況下，網站交互可以做到更加神不知鬼不覺。

Johnson 在Safari 和Firefox 上的測試表明，即使按了向下↓ 箭頭、或使用鼠標滾輪在網站上導航，都可被授予當前加載頁面的剪貼板寫入權限。

要確定該問題是否影響您的Web 瀏覽器，可移步至webplatform.news 示例站點，看相關操作是否會將內容注入到用戶系統的剪貼板裡、然後嘗試將內容’粘貼’到Windows記事本。

目前Chrome 開發團隊已經意識到了這個問題，但尚未立即修復。慶幸的是，它對當前版本的移動/ 桌面版Chrome 瀏覽器的影響並不大。