ChainCatcher 消息，慢霧餘弦在 X 平臺發文稱：“一個擴展要作惡，比如偷目標頁面的 Cookies、localStorage 裡的隱私（如賬號權限信息、私鑰信息），DOM 篡改，請求劫持，剪切板內容獲取等等。在 manifest.json 做相關權限配置即可。用戶如果沒注意擴展的權限申請，就麻煩了。但一個擴展要作惡，想直接搞其他擴展，比如知名錢包擴展，那還是不容易的…因為沙盒隔離了…比如想直接偷走錢包擴展裡存儲的私鑰/助記詞有關信息是不大可能的。如果你擔心某擴展的權限風險，要判斷這種風險其實很容易，安裝擴展後可以先不使用，看下擴展 ID，搜索到電腦本地路徑，找到擴展根目錄下的 manifest.json 文件，把文件內容直接扔給 AI 做權限風險解讀即可。如果有隔離思維，可以考慮給陌生擴展單獨啟用 Chrome Profile，至少作惡可控，絕大多數擴展沒必要一直開啟。”