观此贴有感（在正文），对于普通人来说，怎么判断正在使用的浏览器插件，油猴脚本，电脑手机各种 app 是不是安全的，不泄露数据，不窃取隐私

插件和脚本都有默认自动更新机制，没得防，在巨大的利益面前包括我是否会动心，这个问题都是要打一个问号的

不要用中国人写的插件

就看开不开源 https://www.gnu.org/proprietary/proprietary.html

@penzi 用 iPhone+iPad ，不要用电脑

自己写插件给自己用。
2026 年了有 AI 辅助，还有什么办不到的？
我已经把浏览器里大部分第三方插件换成自己实现了。

商店的审核到底干啥吃的
一点用都没有哎

都不安全，或者说这已经是一条成熟的产业链了：某某团队做出一个产品，然后过一段时间悄无声息地卖出去，转给恶意公司，进行投毒。而且开源与否无关紧要（实际上被投毒的不少是开源项目）:

- lnmp 和 oneinstack 被卖给公司，然后投毒，加入恶意代码
- bootcss 、bootcdn 、staticfile 、polyfill 等网站的投毒
- hutool 在没有任何通告的情况下被卖给了一家公司
- alist 也在没有任何通告的情况下被卖给了一家公司，后来作者在 Telegram 群里面补了一则通知，但是官网和 README 里面看不到商业化的任何信息和资料，也没有所属公司名称
- 沉浸式翻译，偷偷卖掉项目，开源转闭源，原开源项目改名，新建一个与原来名字一样的项目，新仓库里上传二进制文件

有句话，现在安全和未来安全没有绝对必然的联系

看样子只能用 AI 自己写了

对普通人来说就两个字：别用。
然后普通人在说服自己去用的过程中就知道该怎么判断了

个人不做判断。因为理论上讲，数据只能做到防删、无法做到防查。即使微软这类一线大厂也有数据泄漏的多次记录，但黑客却没办法删除大厂数据让他们原地破产。

所以，你要通过多副本、WORM 等机制来确保恶意脚本、黑客等无法删除或加密你的数据。再通过强密码加密自己的敏感数据来确保别人无法解密你的敏感数据就行了。至于数据，他们想获取，就获取吧，反正拿到的要么没价值、要么解不开

理想: 开源的自己编译, 不要安装谷歌商店里的插件因为它带有自动更新. 实际: 不用不知名的插件, 我安装的插件只有 Bitwarden, Switch Proxy

专业人士都不见得不会中招，何况普通人……

所以这个事就不能这么想，要换个角度，变成即使泄露亦无妨就可以了

自己开发插件有个很讨厌的点就是每次打开浏览器时总是会提示处于开发者状态, 询问是否要立即关闭...

一般来说，开源软件不会有问题，而且到了今天完全可以把源码交给 ai 审计，以前可能还会有虽开源但没人审查代码这种情况。

其次大型商业公司的软件一般都有问题，但都在可控范围内，实在有洁癖就开个虚拟机用，手机就专门买个几百块的备用机用商业软件，账号全部单独搞一套。并且就算裸奔他们也往往不会对你造成什么实际损害，国外的拿到你信息也没用，国内的也不敢干会造成实际物质或精神损失的事。

最怕的就是小公司和个人开发者的闭源软件，反正我见到百分百都是绕着走。

那么问题来了，chrome 就绝对安全么

放一把奥卡姆剃刀在这

Little Rat 用 chrome 这个插件查下就行了，能避免一些，

@ff521 chrome 商店每次更新审核都要 3-4 天,到底在审核什么呢

尽量不用插件

推荐一下自己写的起始页插件 https://doc.howdz.xyz/ 支持网页版，代码开源

自己写，直接安装的插件很难说什么时候就投毒了。

普通人用什么插件，没那个分辨能力还是别用了

@charles0 是的

https://github.com/classvsoftware/under-new-management
这个插件可以检测这种行为，一定程度上降低风险

油猴脚本不放心的我会用 ai review 一遍
浏览器插件手机 app 是没啥好方法了

都不说投毒
当年阿里的那个圣诞彩蛋，搞得有些人差点丢了工作

你想想政府网站圣诞节突然跳出来圣诞彩蛋……