文章來源：Qooah.com

TechSpot 於 8月21日發佈的博文指出，DEF CON 33 黑客大會期間，安全研究人員披露了一項技術漏洞：包括 LastPass、1Password 等在內的六款主流密碼管理器，其瀏覽器擴展存在未修復的點擊劫持（Clickjacking）漏洞，該問題已對全球約 4000 萬用戶的信息安全構成威脅。

在點擊劫持攻擊中，網頁上看似常規的同意框或 CAPTCHA，可能是攻擊者覆蓋的透明或偽造元素。用戶點擊這些偽裝組件時，會誤觸發密碼管理器的自動填充功能，造成賬號密碼、認證碼甚至銀行卡信息悄然洩露。Tóth 的研究通過實例證明，攻擊者可借助腳本技術識別瀏覽器中活躍的密碼管理器，根據其特性優化攻擊方案，讓此類風險更難被用戶察覺。

研究覆蓋 11 款主流密碼管理器後確認，其中 6 款存在明顯安全漏洞，受影響用戶達 4000 萬。廠商應對情況如下：Bitwarden 已在 2025.8.0 版本中完成漏洞修復並推送更新；Enpass 此前已推出部分風險緩解措施；Dashlane、NordPass、Proton Pass、RoboForm 及 Keeper 等產品則提前發佈補丁解決問題。而 1Password 和 LastPass 初期僅將漏洞歸類為「信息性」問題，未啓動緊急修復流程；LogMeOnce 截至目前尚未對漏洞情況作出回應。