根据developer.chrome.com：

[Chrome 扩展程序] 基于 HTML、JavaScript 和 CSS 等 Web 技术构建。

这意味着，任何可能影响扩展行为的东西都将以纯文本格式存在（而不是二进制）。Chrome 允许您调试扩展程序，为您提供一种相对简单的方法来查看扩展程序在做什么，以及扩展程序的某些行为是否具有潜在的恶意。

这需要用户对上述技术有一定的了解。有某些攻击，纯粹使用 CSS，可用于窃取数据。如果不了解 CSS 或不了解这些攻击，就很难在数兆字节的自动生成的 CSS 代码中识别它们。

非技术用户可能无法进行此类分析。在这种情况下，遵循典型的安全建议会有所帮助：

• 仅安装来自可靠来源（即 Chrome 网上应用店）的扩展程序
• 流行的扩展比未知的扩展更有可能被审计
• 仅在收益远大于风险的情况下安装扩展程序
• 注意扩展所需的权限，以及请求这些权限是否有意义

使用fiddler 之类的免费代理跟踪您的浏览器流量可以显示一些令人大开眼界的事情。在我访问的每个页面之后，我都可以看到对陌生域的出站请求。在 Fiddler 中查看陌生请求的标头，我可以看到我访问过的页面的 URL！我一一禁用了我的 chrome 扩展，直到找到罪魁祸首。原来开发人员正在货币化 -请参阅 git issue report。...此外，他将代码注入到商店清单中，因此它在 git repo 中不可见。这是一个相当大的“供应链”式攻击向量，其中第 3 方维护者放弃了代码的权利，甚至被破坏，并且恶意代码被引入现有的包/扩展。

我正在开发与浏览器网络（不仅是当前窗口）一起使用的 Chrome 扩展程序。即使我不执行任何操作，我也很惊讶有多少数据被传输。

有以下沟通：

• 非活动标签
• 关闭的标签（通过服务人员）
• 扩展

但是很难确定什么是数据泄漏以及扩展工作所需的通信是什么。因为人流量很大。

Duo Security 的团队有一个名为https://crxcavator.io/的项目。他们会定期扫描 Chrome 网上应用店中的所有内容，并根据代码分析和商品详情中的隐私政策链接等内容为所有扩展程序提供“风险评分”。

在不知道如何自己评估它们的情况下，可以在选择受信任的扩展方面大有帮助。