围绕 Firefox 的安全讨论,外界常常盯着两个词:漏洞、零日。它们重要,但这次更有解释力的新线索,来自一场几乎把整个 Firefox 扩展商店翻了一遍的民间扫描。

开发者 Jack Cab 通过公开 API、脚本和分类抓取,整理出约 84235 个唯一扩展,覆盖率约 99.94%,数据集总大小约 49.3GB。这个结果补上了旧讨论里缺的一块:问题不只出在个别高危漏洞,也不只是谁在嘴仗里把风险说得更大,而是扩展商店本身就是浏览器层的高权限分发入口,里面长期混杂着低质、恶意和难以被普通用户识别的内容。

这让原本偏“事件型”的判断,变成了更具体的“结构型”判断:Firefox 面对的不是一次安全公关,而是一套开放生态如何被持续治理的问题。

近乎“人口普查”的扫描,补上了旧讨论最缺的证据

这次扫描的价值,不在于“有人下载了很多插件”,而在于它第一次把 Firefox 扩展商店的整体样貌尽量摊平了看。

AMO(addons.mozilla.org)虽然提供公开 API,而且基本不需要认证,但“能访问”不等于“能看全”。搜索分页默认只能拿到 600 页,换算下来约 3 万条记录,远不到全站规模。Jack Cab 后来靠不同排序、去重、exclude_addons 参数以及按分类并行抓取,才把样本补到 8.4 万量级。

这件事补强了一条很重要的信息:平台表面开放,不代表外界真能完整审视它。对普通用户,这只是搜索结果不好翻完;对安全研究者、媒体和平台治理来说,区别很大。你看不见全貌,就很难判断问题是偶发,还是普遍。

旧有讨论如果主要围绕“Firefox 又曝出多少零日”展开,容易把注意力锁在补丁和应急上。新线索提供的,则是一种更接近底层现实的证据:扩展商店的真实风险,很多时候藏在索引方式、发现机制和审核盲区里,而不是只藏在 CVE 编号里。

真正刺眼的不是体积夸张,而是劣质和恶意内容的密度

全量样本摊开后,最容易传播的细节是“最大的扩展快 200MB”。这当然说明扩展已经越来越像轻量应用容器,里面会塞 OCR 引擎、模型、音视频素材,甚至整套 Unity 应用。但更该警惕的,不是臃肿本身。

更关键的发现是,样本里出现了多类明显有问题的扩展:

  • 伪装成钱包的钓鱼扩展
  • 用同形异义字符混淆名称的仿冒品
  • 批量生成的低质 AI 扩展
  • 借作者主页做 SEO 垃圾外链的投机内容
  • 围绕新标签页、默认搜索等入口做灰色流量变现的扩展群

这里的新信息,不是“扩展生态有坏人”这么宽泛,而是这些问题在近乎全站扫描里被系统性看见了。它们不是零星事故,而更像一类长期存在、但平时不容易被完整看见的内容供给。

对用户来说,浏览器扩展的风险常被低估。原因很简单:它看起来像个小工具,权限却往往很深。很多扩展能读网页内容、接触 Cookie、改写新标签页、观察跳转行为,部分场景下还会碰到剪贴板、账户登录流程和支付页面。

如果商店里混入的是一个普通低质应用,后果可能只是体验差;如果混入的是钱包仿冒、搜索劫持或流量套利工具,损失就可能直接落到账号、资产和隐私上。

这件事影响最大的,不是所有人,而是两类高频用户

不是每个 Firefox 用户都会立刻受影响。真正该提高警惕的,主要是两类人。

一类是会安装较多扩展的重度浏览器用户,尤其是依赖生产力插件、开发工具、AI 助手、网页自动化工具的人。因为他们更容易接触权限更高、功能更复杂、更新更频繁的扩展,也更可能被“看起来很像”的仿冒品骗到。

另一类是和加密钱包、账户安全强相关的用户。新线索里提到的部分扩展,核心手法并不复杂,甚至只是弹出表单诱导用户提交助记词。技术门槛不高,却能利用商店上架这一层“默认信任”来降低用户戒备。

相比之下,普通轻度用户如果只安装少数头部扩展,风险并非同等程度地放大。这也是为什么讨论受影响人群时,没必要把所有 Firefox 用户一锅端。真正的问题集中在“高权限扩展 + 高频安装行为 + 用户默认信任商店”的交叉地带。

比起争论谁在“恐惧营销”,更该看平台有没有基本治理能力

如果把视角只放在公开口水仗上,讨论很容易跑偏:有人强调风险,有人批评夸张,有人拿“零日数量”做证据。但这次新线索把问题往前推了一步。

它说明,Firefox 扩展商店面临的现实压力至少包括三层:

  • 平台是否真能让外界看清全貌
  • 平台是否能及时发现批量低质和恶意扩展
  • 用户在安装前,是否拿得到比“评分和简介”更有用的风险信号

这也是新来源相比旧判断真正补强的地方:它没有推翻“安全风险需要警惕”这条主线,而是把风险从抽象争论,落到了一个可审视、可采样、可验证的分发系统上。

更直白地说,271 个“零日”这种说法再抓眼球,也主要描述漏洞层的危险;而这次扫描展示的是商店层、治理层和分发层的风险。前者更像火警,后者更像房屋结构本身就有不少裂缝。

Mozilla 这次在举报后下架了一批问题扩展,这说明平台并非完全失灵。但另一面也很清楚:如果要靠外部研究者做一次近乎民间普查,平台才批量发现问题,那就说明治理仍偏被动。

接下来真正该观察的,不是口水仗谁赢,而是 Mozilla 会不会补上几件更基础的事:

  • 更完整、可审计的商店索引方式
  • 对批量相似扩展和异常开发者关系的识别
  • 更清楚的权限提示和开发者信誉信息
  • 对仿冒钱包、搜索劫持、SEO 垃圾的前置拦截能力

如果这些环节不动,今天被扫出来的是 Firefox;明天换个平台,问题大概率还会以别的名字再出现。

浏览器正在重新成为入口,AI 助手、网页应用、账户体系都在往这里叠。入口一旦变得更值钱,扩展商店就不再只是个插件仓库,而是信任分发系统。系统若只重开放、不补治理,迟早会被低质内容和灰产拿去做压力测试。