Récemment, de nombreux amis s'inquiètent des risques de sécurité de certaines extensions de navigateur, en particulier des risques liés à des permissions excessives. Il est intéressant de noter que beaucoup sous-estiment le risque que des extensions malveillantes puissent causer, tandis que d'autres exagèrent ce risque… J'ai écrit des extensions de navigateur il y a longtemps (l'une d'elles est open source dans mon dépôt GitHub, elle s'attaque aux cookies, mais elle est déjà périmée), et j'ai également audité la sécurité de certaines extensions de portefeuille, donc je fais partie des personnes qui comprennent assez bien ce domaine de la sécurité. Pour qu'une extension soit malveillante, par exemple pour voler les cookies de la page cible, les informations privées dans localStorage (comme les informations d'autorisation de compte, les informations de clé privée), modifier le DOM, intercepter des requêtes, obtenir le contenu du presse-papiers, etc. Il suffit de configurer les permissions correspondantes dans manifest.json. Si l'utilisateur ne fait pas attention aux demandes de permissions de l'extension, cela peut poser problème. Cependant, pour qu'une extension soit malveillante et tente d'attaquer d'autres extensions, comme des extensions de portefeuille bien connues, ce n'est pas si facile… car il y a une isolation par sandbox… Par exemple, il est peu probable qu'elle puisse directement voler des informations liées aux clés privées/mots de passe stockés dans l'extension de portefeuille, à moins qu'une vulnérabilité stupide n'apparaisse et soit exploitée de manière malveillante. Si vous vous inquiétez des risques de permissions d'une extension, il est en fait très facile d'évaluer ce risque. Après avoir installé l'extension, vous pouvez d'abord ne pas l'utiliser, vérifier l'ID de l'extension, rechercher le chemin local sur votre ordinateur, trouver le fichier manifest.json dans le répertoire racine de l'extension, et soumettre le contenu du fichier à une IA pour une interprétation des risques de permissions. Cette étape est facile à réaliser, et vous pouvez aussi simplement demander à une IA… par exemple, DeepSeek/GPT/Grok/Claude, etc. Si vous avez une pensée d'isolation, vous pouvez envisager d'activer un profil Chrome séparé pour des extensions inconnues, au moins cela rendra les actions malveillantes plus contrôlables. De plus, une fois que vous avez fini d'utiliser une extension, vous pouvez la désactiver dans chrome://extensions/, la grande majorité des extensions n'ont pas besoin d'être activées en permanence. Le but de ce que j'écris est en fait d'inciter tout le monde à mieux utiliser l'IA (il y a quelques années, c'était mieux utiliser les moteurs de recherche), l'IA peut gérer ces problèmes de sécurité de base sans problème…