ChainCatcher 消息,慢霧餘弦在 X 平臺發文稱:“一個擴展要作惡,比如偷目標頁面的 Cookies、localStorage 裡的隱私(如賬號權限信息、私鑰信息),DOM 篡改,請求劫持,剪切板內容獲取等等。在 manifest.json 做相關權限配置即可。用戶如果沒注意擴展的權限申請,就麻煩了。
但一個擴展要作惡,想直接搞其他擴展,比如知名錢包擴展,那還是不容易的…因為沙盒隔離了…比如想直接偷走錢包擴展裡存儲的私鑰/助記詞有關信息是不大可能的。如果你擔心某擴展的權限風險,要判斷這種風險其實很容易,安裝擴展後可以先不使用,看下擴展 ID,搜索到電腦本地路徑,找到擴展根目錄下的 m