Chrome浏览器扩展的自动升级策略给用户带来了不少便利，但这种便利被一些恶意团体使用之后就变成了隐患。近日，Google不得不人为地从Chrome Web Store中移除两款包含了恶意广告的扩展——Add to Feedly和Tweet This Page，以缓解用户的抱怨。

拿Add to Feedly举例来说，在Google关闭Google Reader之后，Add to Feedly的作者Amit Agarwal就切换到了替代服务Feedly上。但由于Feedly没有一个官方的扩展程序可以让用户通过点击Web页面订阅RSS源，所以Amit就自己动手写了一个。当Add to Feedly聚集起一定的用户数之后，某天早晨，Amit突然收到一封陌生人的邮件声称希望通过四位数的价格购买他的扩展。Amit觉得这个扩展只是自己一个小时的工作成果而已，所以就答应把Add to Feedly出售给对方。

悲剧就此诞生。一个月后，Add to Feedly的新主人对其进行了一次升级，但除了把广告整合进去之外没有加入任何新功能。接着，Google又默默地把新版推送给了所有安装Add to Feedly的Chrome用户，然后这些用户发现不论自己浏览什么页面都会有广告出现。Add to Feedly也就由一款工具扩展沦落成了恶意软件。

Add to Feedly并不是孤立事件，Tweet This Page也有着类似的遭遇。Amit Agarwal在博客上详述了自己售卖Add to Feedly的过程并表示相当后悔。而事实上，收买那些已经具备一定用户数量的Chrome扩展，然后把恶意程序或者广告整入其中已经成为了一个产业链条。有着20多万用户的Chrome扩展Honey的开发者之一就在Reddit上表示，过去一年来，各式各样的团体曾接触他们以期待能收买Honey扩展、用户数据或寻求广告合作。Google虽然出台了不少政策来提升Chrome浏览器的安全性，但看上去仍然有一些机制被恶意利用。

恶意软件和广告厂商之所以如此热衷于购买Chrome扩展很大程度上也是由于它可以悄无声息的自动升级。如果一个Chrome扩展在更新之后并没有请求新的权限那么用户就不会得到升级通知，即使请求了新的权限Google给用户的通知也可能是非常官方的术语比如：该扩展想访问你的数据及网页。普通用户看完之后八成是一头雾水。而且目前Google又没为用户提供合适的方法来禁止扩展自动升级，所以恶意团体在购买到Chrome扩展之后只需对其进行再包装就可以以非常低廉的成本将其推送到用户端，进而获利。

对于用户来说即使发现有恶意扩展向自己的网页中插入广告，这个发现和删除它的过程也是非常麻烦的。比如我曾经就遇到过恶意扩展在豆瓣页面下插入横幅广告，但由于安装的扩展并不是一个两个，一时半会也没法确定到底是谁在恶意地插入广告，所以不得不按可能性一个一个的猜。

所以看上去Google要制止像Add to Feedly这样类似的事件再度发生恐怕要继续更新Chrome的安全机制或者Chrome Web Store的政策了。比如要求所有扩展升级之前必须得到用户的允许、注明以何种形式集成广告抑或增大对升级扩展的审查力度等等。