ExtensionPedia
Sider: Klepetajte z vsemi UI: GPT-5, Claude, DeepSeek, Gemini, Grok

Sider: Klepetajte z vsemi UI: GPT-5, Claude, DeepSeek, Gemini, Grok

ChatGPT, DeepSeek, Gemini, Claude, Grok – vse v eni stranski vrstici z umetno inteligenco za iskanje, branje in pisanje z umetno inteligenco.

Analiza tveganja CVE Vedenjska zaznavanja Dovoljenja Dovoljenja gostitelja skrivnosti Varovanje osebnih podatkov
Pošlji povratne informacije
Povzetek tveganja

7.1 / 10

Visoko tveganje

Za razširitveno različico 5.25.10

Najnovejša različica
Resnost kritičnih dovoljenj
3 CVE-ji
Starost posodobljene različice
Manifest V3
Na voljo v spletni trgovini Chrome
Pravilnik o zasebnosti na voljo
Poštena stopnja angažiranosti
CVE (3)
ID Resnost CVSS
CVE-2026-4800

Vpliv: Popravek za CVE-2021-23337 (https://github.com/advisories/GHSA-35jh-r3h4-6jhm) je dodal preverjanje veljavnosti za spremenljivko option v _.template, vendar ni uporabil istega preverjanja za imena ključev options.imports. Obe poti se stekata v isti konstruktor Function(). Ko aplikacija posreduje nezaupanja vreden vnos kot imena ključev options.imports, lahko napadalec vbrizga izraze privzetih parametrov, ki med prevajanjem predloge izvedejo poljubno kodo. Poleg tega _.template za združevanje uvozov uporablja assignInWith, ki našteva podedovane lastnosti prek for..in. Če je bil Object.prototype onesnažen s katerim koli drugim vektorjem, se onesnaženi ključi kopirajo v objekt imports in posredujejo Function(). Popravki: Uporabniki naj nadgradijo na različico 4.18.0. Rešitve: Ne posredujte nezaupanja vrednega vnosa kot imena ključev v options.imports. Uporabljajte samo statična imena ključev, ki jih nadzorujejo razvijalci.

Major
8.1
CVE-2026-2950

Vpliv: Različice Lodash 4.17.23 in starejše so ranljive za onesnaževanje prototipov v funkcijah _.unset in _.omit. Popravek za (CVE-2025-13465: https://github.com/lodash/lodash/security/advisories/GHSA-xxjr-mmjv-4gpg) ščiti le pred člani ključev nizov, zato lahko napadalec zaobide preverjanje s podajanjem segmentov poti, zavitih v polje. To omogoča brisanje lastnosti iz vgrajenih prototipov, kot so Object.prototype, Number.prototype in String.prototype. Težava dovoljuje brisanje lastnosti prototipov, vendar ne dovoljuje prepisovanja njihovega prvotnega vedenja. Popravki: Ta težava je odpravljena v različici 4.18.0. Rešitve: Ni. Nadgradite na popravljeno različico.

Zmerno
6.5
CVE-2025-13465

Različice Lodash od 4.0.0 do 4.17.22 so ranljive za onesnaževanje prototipov v funkcijah _.unset in _.omit. Napadalec lahko posreduje izdelane poti, zaradi katerih Lodash izbriše metode iz globalnih prototipov. Težava dovoljuje brisanje lastnosti, vendar ne dovoljuje prepisovanja njihovega prvotnega vedenja. Ta težava je odpravljena v različici 4.17.23.

Manjše
0
Vedenjska zaznavanja

Vedenjska zaznavanja

Odkleni celotno matriko MITRE ATT&CK

Zahtevajte Demo
Dovoljenja (12)
Ime Resnost
Piškotki

Razširitve z dovoljenjem za piškotke lahko pridobijo in spremenijo piškotke (zahteva dovoljenja gostitelja).

Kritično
Skriptiranje

Razširitve z dovoljenjem za skriptanje lahko vstavljajo in izvajajo kodo na spletnih straneh, kar se lahko potencialno uporabi za krajo podatkov ali ugrabitev seje (zahteva dovoljenja gostitelja, na voljo od Manifesta V3).

Kritično
Deklarativna neto zahteva

Razširitve z dovoljenjem declarativeNetRequest lahko blokirajo omrežne zahteve brez potrebe po dovoljenjih gostitelja ter preusmerijo zahteve in spremenijo glave, če imajo dovoljenja gostitelja.

visoka
Zajem zavihkov

Razširitve z dovoljenjem tabCapture lahko zajamejo vsebino katerega koli zavihka. tabCapture je treba poklicati z uporabniškim gibom, razen če je razširitev nameščena na silo, v tem primeru lahko zajame zaslon brez interakcije uporabnika.

visoka
Zavihki

Razširitve z dovoljenjem za zavihke lahko poizvedujejo po URL-ju, pendingUrl-u, naslovu in favIconUrl katerega koli zavihka.

visoka
Neomejeno shranjevanje

Razširitve z dovoljenjem unlimitedStorage nimajo omejitev kvote shranjevanja za chrome.storage.local, IndexedDB, Cache Storage in Origin Private File System.

visoka
alarmi

Razširitve z dovoljenjem za alarme lahko načrtujejo občasno izvajanje kode ali ob določenem času v prihodnosti.

srednje
Kontekstni meniji

Razširitve z dovoljenjem contextMenus lahko dodajo elemente v kontekstni meni brskalnika (znan tudi kot meni z desno miškino tipko).

srednje
Izklopljen zaslon

Za ustvarjanje in upravljanje dokumentov zunaj zaslona uporabite API za zunaj zaslona.

srednje
Side Panel

Razširitve z dovoljenjem sidePanel lahko prikazujejo vsebino v stranski plošči brskalnika poleg glavne vsebine spletne strani, kar omogoča trajen vmesnik, ki dopolnjuje uporabnikovo brskanje (na voljo od Manifesta V3).

srednje
Pohištvo za shranjevanje

Razširitve z dovoljenjem za shranjevanje lahko shranjujejo in pridobivajo uporabniške podatke, ki se lahko ohranijo tudi po brisanju predpomnilnika in zgodovine brskanja.

srednje
Aktivni zavihek

Razširitve z dovoljenjem activeTab lahko začasno dostopajo do aktivnega zavihka, vključno z vstavljanjem skriptov in spreminjanjem vsebine, vendar le, če jih uporabnik izrecno pokliče z gesto. Dostop se prekliče, ko uporabnik zapre zavihek ali se odmakne. V primerjavi z , activeTab je varnejši, saj ne omogoča trajnega dostopa.

nizka
Dovoljenja gostitelja (2)
https://*.openai.com/
skrivnosti

Ni najdenih skrivnosti

Niso bili zaznani nobeni izpostavljeni ključi API-ja ali poverilnice

Politika zasebnosti

Politika zasebnosti

Odkleni oceno tveganja politike zasebnosti

Zahtevajte Demo