Chromium Drift 页面最新抓取结果显示,截至 2026 年 5 月 3 日 17:07:56,Chrome Stable 的基线版本为 147.0.7727.139。Brave、Opera、Edge、Arc、Dia、ChatGPT Atlas 均被标记为 up to date,但 Vivaldi Stable 仍停在 Chromium 146,Comet 则显示为 Chromium 145。

这件事的重点不是给浏览器排安全座次,而是提醒用户:Chromium 内核更新有时间差。只要某个浏览器还没有把上游已修复的代码发布给用户,漏洞细节在公开提交、公告或逆向分析中变得可见后,攻击者就可能利用这段空窗。

Chrome 147 是参照线,落后主要集中在两个浏览器

Chromium Drift 用 Chrome Stable 147.0.7727.139 作为基线。按大版本看,多数主流 Chromium 浏览器已经跟到 147,但补丁小版本并不完全一致,不能简单理解为安全状态完全相同。

浏览器当前 Chromium 版本页面判断数据来源
Chrome Stable147.0.7727.139基线Chromium Dash 公共 API
Brave Release147.0.7727.137up to dateBrave 公共 API
Edge Stable147.0.3912.98up to dateMicrosoft Edge 更新 API
Arc147.0.7727.139up to dateSparkle appcast
Dia147.0.7727.138up to datemacOS ZIP 安装包提取
ChatGPT Atlas147.0.7727.24up to datemacOS DMG plist 提取
Vivaldi Stable146.0.7680.218落后 1 个大版本Linux .deb 二进制提取
Comet145落后 2 个大版本Uptodown 下载页

这里最醒目的差异是 Vivaldi 和 Comet。前者落后 1 个大版本,后者落后 2 个大版本。对普通用户而言,这不意味着它们必然存在某个正在被利用的特定 CVE;对企业安全团队而言,这足以进入终端软件盘点和升级策略讨论。

版本差不是小洁癖,而是补丁窗口问题

Chromium 是 Chrome、Edge、Brave、Opera、Vivaldi、Arc 等浏览器共同依赖的上游项目。上游修复漏洞后,下游浏览器还要完成合并、测试、打包和发布。产品功能越多、定制越深,跟进成本往往越高。

历史上,浏览器漏洞的风险常常不在“是否知道问题”,而在“修复多久到达用户”。Google Chrome 遇到高危或零日漏洞时,通常会通过 Stable 频道快速推送;Microsoft Edge、Brave 等也会紧跟 Chromium 安全更新。相比之下,小团队或高度定制浏览器更容易出现几天到数周的滞后。

这会影响两类人。普通用户如果把某个小众 Chromium 浏览器作为默认浏览器,登录网银、企业邮箱或密码管理器时,承担的是更长的补丁等待期。企业终端团队则要把浏览器内核版本纳入资产基线,而不是只看软件名称是否“最新版”。在采购或准入策略里,更新 SLA 比营销页面上的隐私、安全宣称更硬。

数据能提示风险,但不能替代安全审计

这组数据也有边界。Chromium Drift 混合使用公开 API、安装包提取和第三方下载页。Chrome、Brave、Edge 的来源相对直接;Opera、Vivaldi、Dia、ChatGPT Atlas 来自安装包或配置文件提取;Comet 的版本信息来自 Uptodown 下载页,可信度低于官方 API或厂商发布渠道。

还有一个容易被忽略的口径:大版本相同不代表补丁完全相同。Brave 是 147.0.7727.137,Opera 是 147.0.7727.56,ChatGPT Atlas 是 147.0.7727.24,它们都被标记为 up to date,但小版本差异可能对应不同合并节奏。页面能说明“跟没跟上大版本”,不能证明每个厂商的沙箱、自动更新、恶意站点拦截、企业策略能力相同。

接下来最该观察的变量很具体:Vivaldi 何时推送 Chromium 147 稳定版;Comet 是否提供更可靠的官方版本源;被标记 up to date 的浏览器是否继续缩短小版本补丁差。对安全敏感用户,最现实的动作是检查浏览器内核版本,并启用自动更新;对企业,最低限度是把 Chromium 大版本落后纳入告警。