Segundo a Ars Technica, o Google, seguindo a prática de divulgação de vulnerabilidades em 90 dias adotada pelo Project Zero, publicou o código completo de exploração para uma falha crítica (CVE-2026-1504) na API Background Fetch do Chromium. Essa falha permite que atacantes instalem um Service Worker persistente no dispositivo da vítima apenas com uma única visita a uma página maliciosa; esse componente continua ativo mesmo após reinicializações do aparelho e pode ser usado para monitorar tráfego de rede, atuar como proxy ou integrar o dispositivo a redes de bots para ataques DDoS, tudo sem exigir qualquer interação adicional por parte do usuário. O Chrome já lançou a versão 144.0.7559.110 como correção, e os pesquisadores receberam uma recompensa de 3.000 dólares pela descoberta.
O ponto polêmico é que, ao divulgar o código de exploração, o Google não aguardou que o Microsoft Edge e outros navegadores baseados no Chromium aplicassem as atualizações; além disso, ambientes corporativos costumam demorar mais para implementar correções, deixando muitos usuários expostos até que as atualizações sejam distribuídas. Esse caso reabriu o debate sobre se detalhes de exploração devem ser revelados antes de todo o ecossistema estar protegido: defensores argumentam que a pressão por prazos acelera as respostas das empresas, enquanto críticos temem abrir uma janela de oportunidade para ataques. Usuários de navegadores não-Chrome baseados no Chromium devem verificar imediatamente suas versões e instalar atualizações manuais.