在 Firefox 中：是的，当然。Firefox 架构并没有阻止他们这样做。

虽然密码在存储在磁盘上时理论上是“加密的”，但解密密钥也存储在磁盘上。因此，任何可以访问文件系统的软件都会发现解密存储的密码并访问它们是微不足道的。（如果你不想相信我的话，这里有一种简单的方法可以让你自己相信这是可能的：Firefox 浏览器可以在不提示你任何秘密的情况下解密它们。）

在 Firefox 中，插件可以运行本机代码，因此它们可以访问文件系统。因此，他们可以获取和解密您存储的所有密码。如果他们愿意，他们还可以通过网络将其泄露出去。

在 Firefox 中，扩展程序可以运行任意 shell 命令并访问文件系统，因此它们也可以获取和解密您存储的所有密码，并通过网络泄露它们。

流行的 Firefox 扩展有一个简单的审查过程，这可能会使不成熟的扩展更难发起此类攻击。然而，这个审查过程很容易被恶意软件破坏：扩展可以从外部源（例如，通过<SCRIPT SRC=...>或eval）动态加载代码，攻击者可以安排外部加载的代码在审查期间是良性的，而在执行期间是恶意的。

因此，没有什么可以真正阻止恶意 Firefox 插件或 Firefox 扩展进行此类攻击。

（有趣的是，对于扩展，Chrome 的扩展系统对这种攻击有更好的保护。）

一旦你在你的机器上运行不受信任的软件，它就不再是你的机器了，你必须假设一切都受到了损害。密码在某些时候以明文形式存在 - 因此它们可以被捕获并发送给攻击者。

Firefox 做了几件事来使这些密码更难捕获——它对它们进行加密（但这种加密很弱）；它允许您使用主密码保护它们；它将（部分）加密的文件保存在具有随机名称的目录中；等等。 攻击系统的其他部分可能更容易；例如，有键盘记录 firefox 扩展。

这是一个关于保存密码安全的旧文档：

http://www.symantec.com/connect/articles/password-management-concerns-ie-and-firefox-part-one

这是攻击 Firefox 密码的软件（但不是作为浏览器的插件，因此不回答问题）

http://securityxploded.com/firemaster.php

这是一个关于超级用户的好答案的链接：

https://superuser.com/questions/20168/how-safe-is-firefox-password-manager/20177#20177