Firefox 扩展全抓取与分析：数据背后的技术挑战与安全隐忧

【导语2026 年有人尝试抓取并安装所有 Firefox 扩展通过公共 API 历经多次尝试获取扩展数据还对扩展进行了多维度分析揭示了扩展的大小、质量、开发情况及安全隐患等信息。】突破抓取瓶颈多策略获取全量扩展数据Firefox 插件商店公共 API 虽无需身份验证且无速率限制但搜索 API 仅返回 600 页结果只能看到 30000 个扩展不到总数一半。为获取更多扩展采用不同排序方式如将默认的 sortrecommended,users 改为 sortcreated 等还添加 rating、hotness、updated 等排序方式逐步增加获取的扩展数量。之后想到使用 exclude_addons 方法可额外获取 20 页数据但受 URL 长度限制。最终通过按类别过滤并并行抓取每一页数据基本获取到了所有扩展共发现 84235 个唯一扩展比网站显示数量少 8 个。该数据集已上传到 Hugging Face方便他人使用。扩展深度剖析大小、质量与开发者情况在扩展分析方面最大的扩展是 [dmitlichess](https://addons.mozilla.org/en-US/firefox/addon/dmitlichess/)大小为 196.3MB包含 2000 多个音频文件最小的扩展是 [theTabs - saver](https://addons.mozilla.org/en-US/firefox/addon/thetabs - saver/)仅 7518 字节且无代码。主观上最差的扩展是“Cute doggy - Dog puppies”客观上是 [Tab Stack for Firefox](https://addons.mozilla.org/en-US/firefox/addon/tab - stack - for - firefox/)。最早的扩展是 [Web Developer](https://addons.mozilla.org/en-US/firefox/addon/web - developer/)截图最多的是 [RDS Bar](https://addons.mozilla.org/en-US/firefox/addon/rds - bar/)有 54 张截图。“竖中指表情贴纸”奖得主 [FalscheLaden](https://addons.mozilla.org/en-US/firefox/addon/falscheladen/) 无用户却请求 3695 个权限。最高产的开发者是 [Dr. B](https://addons.mozilla.org/en-US/firefox/user/18672722/)发布了 84 个扩展。钓鱼扩展隐患安全威胁不容忽视数据集中存在针对加密钱包的同形攻击扩展这些扩展实现方式简单只是弹出表单要求用户输入种子短语并发送到服务器。如 “Іron Wаllеt” 安装后三秒会从 NocoDB 电子表格获取钓鱼页面 URL 并打开。这些钓鱼扩展有的刷一星评价有的刷四星评价情况复杂。向 Mozilla 举报后相关扩展很快消失。这表明 Firefox 扩展生态存在安全隐患需要加强监管和审查。编辑观点此次对 Firefox 扩展的全面抓取与分析展现了技术实现的复杂性和扩展生态的多样性。但钓鱼扩展的存在警示着安全问题不容忽视开发者和平台方需共同努力保障用户安全。