Menariknya, banyak orang meremehkan risiko ekstensi jahat melakukan kejahatan, dan banyak orang melebih-lebihkan risiko ekstensi jahat melakukan kejahatan... Saya telah menulis tentang ekstensi browser untuk waktu yang lama (salah satunya adalah open source di repositori GitHub saya, cookie hitam, dan telah lama kedaluwarsa), dan saya juga telah mengaudit ekstensi dompet tertentu dengan aman, jadi saya adalah tipe orang keamanan yang memahaminya dengan relatif baik. Ekstensi dapat melakukan kejahatan, seperti mencuri cookie dari halaman target, privasi di localStorage (seperti informasi izin akun, informasi kunci pribadi), gangguan DOM, pembajakan permintaan, akuisisi konten clipboard, dll. Cukup konfigurasikan izin yang relevan di manifest.json. Jika pengguna tidak memperhatikan permintaan izin ekstensi, itu akan merepotkan. Tetapi jika ekstensi ingin melakukan kejahatan, dan Anda ingin langsung terlibat dalam ekstensi lain, seperti ekstensi dompet terkenal, itu masih tidak mudah... Karena kotak pasir terisolasi ... Misalnya, tidak mungkin secara langsung mencuri informasi tentang kunci pribadi/frasa mnemonik yang disimpan di ekstensi dompet, kecuali ada kerentanan bodoh yang dieksploitasi dengan jahat. Jika Anda khawatir tentang risiko izin ekstensi, sebenarnya mudah untuk menilai risiko ini, setelah menginstal ekstensi, Anda tidak dapat menggunakannya terlebih dahulu, lihat ID ekstensi, cari jalur lokal komputer, temukan file manifest.json di direktori root ekstensi, dan lempar konten file langsung ke AI untuk interpretasi risiko izin. Langkah ini tidak dapat dioperasikan, dan sangat nyaman untuk bertanya langsung kepada AI ... Misalnya, DeepSeek/GPT/Grok/Claude, dll. akan dilakukan. Jika Anda memiliki pola pikir yang terisolasi, Anda dapat mempertimbangkan untuk mengaktifkan Profil Chrome secara terpisah untuk ekstensi yang tidak dikenal, setidaknya untuk mengontrol kejahatan. Selain itu, ekstensi dapat ditutup dalam chrome://extensions/ jika habis, dan sebagian besar ekstensi tidak perlu buka sepanjang waktu. Inti dari tulisan saya sebenarnya adalah untuk membimbing semua orang agar lebih pandai menggunakan AI (beberapa tahun yang lalu, itu pandai menggunakan mesin pencari), dan AI bukanlah masalah untuk menangani masalah keamanan dasar ini...