慢雾余弦：需注意浏览器扩展的权限申请，同时还要有隔离思维

慢雾余弦在X平台发文提醒社区浏览器扩展安全问题，他表示一个扩展要作恶，比如偷目标页面的Cookies、localStorage里的隐私（如账号权限信息、私钥信息），DOM篡改，请求劫持，剪切板内容获取等等，在manifest.json做相关权限配置即可。用户如果没注意扩展的权限申请就麻烦了，但一个扩展要作恶，想直接搞其他扩展，比如知名钱包扩展，那还是不容易的…因为沙盒隔离了…比如想直接偷走钱包扩展里存储的私钥/助记词有关信息是不大可能的。 如果担心某扩展的权限风险，要判断这种风险其实很容易，安装扩展后可以先不使用，看下扩展ID，搜索到电脑本地路径，找到扩展根目录下的manifest.json文件，把文件内容直接扔给AI做权限风险解读即可。如果有隔离思维，可以考虑给陌生扩展单独启用Chrome Profile，至少作恶可控，绝大多数扩展没必要一直开启。