Chrome 有一个，去年年中发布，叫做XSS ChEF。基于一些早期的 工作发现 Chrome 扩展中的漏洞。不幸的是，它似乎并不是要寻找新的漏洞，而是在找到漏洞后更容易利用/展示它们的方法。

我自己没有使用过它，但是根据它的工作方式（它只是一个 Web 服务器），我想它也可以用来利用 Firefox 扩展，或者至少可以将它扩展为能够访问 Firefox 内部状态。发现了一个易受攻击的扩展。

BeEF也可能是一个开始寻找的好地方。

一个类似的工具是 Qualys BrowserCheck，但它宣布检查插件漏洞而不是扩展漏洞。我已经尝试过了，只是在我的情况下检测到插件的更新。请记住，正如@Ladadada 评论的那样，浏览器插件和扩展是不同的元素。

Qualys BrowserCheck 将对您的浏览器及其插件进行安全分析，以识别任何安全问题。

https://browsercheck.qualys.com/

2020 年对于 Chrome 扩展程序的可信度来说是糟糕的一年，但它也揭示了一些在野外使用的恶意技术。最常见的是在满足某些条件时加载和执行动态脚本或有条件地执行混淆代码。

仅通过执行静态分析就不太可能发现扩展程序是否是恶意的。否则，Chrome 网上应用店会在提交时标记该扩展程序。我认为只有安全专家主导的安全审计才能真正确定扩展是否安全。