In letzter Zeit haben sich viele Freunde für die Sicherheitsrisiken bestimmter Browsererweiterungen interessiert, insbesondere für die Risiken übermäßiger Berechtigungen. Interessanterweise unterschätzen viele die Risiken, die von bösartigen Erweiterungen ausgehen, während andere diese Risiken übertreiben… Ich habe schon früh Browsererweiterungen geschrieben (eine davon ist Open Source in meinem GitHub-Repository, die Cookies löscht, ist schon abgelaufen) und habe auch einige Wallet-Erweiterungen sicherheitsüberprüft, sodass ich zu den sicherheitsbewussten Personen gehöre, die sich damit auskennen. Eine Erweiterung kann böswillig sein, indem sie beispielsweise Cookies von Zielseiten stiehlt, private Daten aus localStorage (wie Kontoberechtigungsinformationen, private Schlüssel) abgreift, das DOM manipuliert, Anfragen abfängt, Inhalte aus der Zwischenablage erlangt usw. Dies kann durch die entsprechende Berechtigungskonfiguration in der manifest.json erfolgen. Wenn der Benutzer die Berechtigungsanfragen der Erweiterung nicht beachtet, wird es problematisch. Aber um böswillig zu sein, ist es nicht einfach, direkt andere Erweiterungen anzugreifen, wie bekannte Wallet-Erweiterungen… denn die Sandbox isoliert sie… Zum Beispiel ist es sehr unwahrscheinlich, dass man direkt Informationen über private Schlüssel/Mnemonics aus einer Wallet-Erweiterung stiehlt, es sei denn, es gibt einen dummen Fehler, der böswillig ausgenutzt wird. Wenn du dir über die Berechtigungsrisiken einer Erweiterung Sorgen machst, ist es eigentlich ganz einfach, dieses Risiko zu beurteilen. Nach der Installation der Erweiterung kannst du sie zunächst nicht verwenden, die Erweiterungs-ID überprüfen, den lokalen Pfad auf dem Computer suchen und die manifest.json-Datei im Stammverzeichnis der Erweiterung finden. Den Inhalt dieser Datei kannst du direkt an AI zur Risikoanalyse der Berechtigungen weitergeben. Wenn du mit diesen Schritten nicht vertraut bist, kannst du auch einfach AI fragen… zum Beispiel DeepSeek/GPT/Grok/Claude usw. funktionieren gut. Wenn du isoliert denkst, kannst du in Betracht ziehen, für unbekannte Erweiterungen ein separates Chrome-Profil zu aktivieren, um die böswilligen Aktivitäten zumindest kontrollierbar zu machen. Außerdem können Erweiterungen, die du nicht mehr benötigst, in chrome://extensions/ deaktiviert werden; die meisten Erweiterungen müssen nicht ständig aktiviert sein. Der Schwerpunkt meines Schreibens liegt eigentlich darin, die Leute dazu zu ermutigen, AI besser zu nutzen (vor einigen Jahren war es, Suchmaschinen besser zu nutzen). AI kann diese grundlegenden Sicherheitsfragen problemlos bearbeiten…