ARIMLABS的安全研究人员。人工智能揭示了浏览器使用项目中的一个严重漏洞，该项目是一个为人工智能代理提供浏览器自动化功能的工具。该漏洞被追踪为CVE-2025-47241，CVSS得分为9.3，允许攻击者通过在URL的HTTP身份验证用户名部分嵌入诱饵域来绕过域白名单保护。

问题的核心在于BrowserContextConfig类中的allowed_domains列表，该列表旨在作为可访问URL的白名单。虽然该模块旨在在代理初始化期间限制URL访问，但ARIMLABS的研究人员表示。AI发现了一个旁路。该漏洞存在于_is_url_allowed（）方法中。

根据公告，“核心问题源于行 domain=domain.split（’：’）[0]，它允许攻击者通过提供用户名：密码对来操纵基本身份验证凭据。”这种操纵使攻击者能够用白名单域替换用户名，有效地绕过了预期的安全检查。

该咨询提供了一个明确的概念证明（POC）来说明该漏洞。通过将allowed_domains设置为[‘example.com’]并使用以下URL：https://example.com:pass@localhost:8080，攻击者可以绕过白名单控制，未经授权访问受限制的内部服务。

这种漏洞的影响是巨大的。正如公告所述，它影响“所有依赖此功能进行安全保护的用户”，并造成“未经授权枚举本地主机服务和内部网络的可能性”。此外，它还授予“绕过域白名单的能力，导致未经授权的浏览”

该漏洞影响浏览器使用模块的所有版本，包括0.1.44。敦促用户立即更新到修补版本0.1.45，以降低风险。