慢霧余弦：需注意瀏覽器擴展的權限申請，同時還要有隔離思維

慢霧余弦在X平台發文提醒社區瀏覽器擴展安全問題，他表示一個擴展要作惡，比如偷目標頁面的Cookies、localStorage裡的隱私（如賬號權限信息、私鑰信息），DOM篡改，請求劫持，剪切板內容獲取等等，在manifest.json做相關權限配置即可。用戶如果沒注意擴展的權限申請就麻煩了，但一個擴展要作惡，想直接搞其他擴展，比如知名錢包擴展，那還是不容易的…因為沙盒隔離了…比如想直接偷走錢包擴展裡存儲的私鑰/助記詞有關信息是不大可能的。

如果擔心某擴展的權限風險，要判斷這種風險其實很容易，安裝擴展後可以先不使用，看下擴展ID，搜索到電腦本地路徑，找到擴展根目錄下的manifest.json文件，把文件內容直接扔給AI做權限風險解讀即可。如果有隔離思維，可以考慮給陌生擴展單獨啟用Chrome Profile，至少作惡可控，絕大多數擴展沒必要一直開啟。