深潮 TechFlow 消息，9 月 22 日，慢霧信息安全官 23pds 在 X 平臺發文表示，新型 WebAuthn 密鑰登錄繞過攻擊方式。攻擊者可通過惡意瀏覽器擴展或網站 XSS 漏洞劫持 WebAuthn API，實現強制降級為密碼登錄或篡改密鑰註冊流程以竊取憑據。該攻擊無需物理接觸設備或訪問生物識別功能即可完成。

WebAuthn 是 W3C 和 FIDO 聯盟制定的重要 Web 認證標準，支持硬件密鑰、生物識別等多種認證方式，目前被廣泛應用於網站安全登錄。建議相關企業和用戶及時關注該安全風險。