Recentemente, molti amici si sono preoccupati dei rischi di sicurezza di alcune estensioni del browser, in particolare del rischio di permessi eccessivi. È interessante notare che molte persone sottovalutano il rischio di estensioni malevole, mentre altre lo esagerano... Ho scritto estensioni per browser molto tempo fa (una delle quali è open source nel mio repository GitHub, si occupa di Cookies, ed è scaduta da un po'), e ho anche effettuato audit di sicurezza su alcune estensioni di portafoglio, quindi sono un tipo di esperto di sicurezza piuttosto informato. Un'estensione per fare del male, come rubare i Cookies della pagina target, la privacy in localStorage (come informazioni sui permessi dell'account, informazioni sulla chiave privata), modificare il DOM, dirottare richieste, ottenere contenuti dagli appunti, ecc. può configurare i permessi pertinenti in manifest.json. Se l'utente non presta attenzione alla richiesta di permessi dell'estensione, può trovarsi in difficoltà. Tuttavia, per un'estensione fare del male, cercare di attaccare direttamente altre estensioni, come quelle di portafoglio famose, non è così facile... perché c'è l'isolamento sandbox... ad esempio, rubare direttamente informazioni sulla chiave privata/parole chiave memorizzate nell'estensione del portafoglio è piuttosto improbabile, a meno che non ci sia una vulnerabilità stupida che venga sfruttata. Se sei preoccupato per il rischio di permessi di un'estensione, valutare questo rischio è in realtà molto semplice. Dopo aver installato l'estensione, puoi prima non usarla, controllare l'ID dell'estensione, cercare il percorso locale sul computer, trovare il file manifest.json nella directory principale dell'estensione e dare il contenuto del file direttamente a un'AI per interpretare il rischio dei permessi. Questo passaggio non è difficile, puoi anche chiedere direttamente all'AI... ad esempio, DeepSeek/GPT/Grok/Claude, ecc. Se hai una mentalità di isolamento, puoi considerare di attivare un profilo Chrome separato per estensioni sconosciute, almeno il male è controllabile. Inoltre, le estensioni possono essere disattivate in chrome://extensions/ dopo l'uso, la maggior parte delle estensioni non ha bisogno di essere sempre attivata. Il punto che voglio sottolineare scrivendo questo è in realtà di incoraggiare tutti a utilizzare meglio l'AI (qualche anno fa era utilizzare meglio i motori di ricerca), l'AI può gestire questi problemi di sicurezza di base senza problemi...