浏览器安全

恶意浏览器扩展与流氓插件：强制安装、主页劫持、盗助记词如何识别和清除

Q: 强制安装、无法删除的插件怎么办？

删除按钮变灰、标着由管理员安装，通常是某个恶意或流氓程序往系统策略里写了强制安装规则。在 Windows 上先用可信安全软件全盘查杀（根子往往是后台一个反复重写策略的母程序），再检查注册表中 HKLM\SOFTWARE\Policies\Google\Chrome 和 Edge 对应路径下的 ExtensionInstallForcelist，删掉不认识的强制项（改注册表前先备份，没把握请交给专业人士）。清理后重启浏览器删除该扩展。macOS 上则在系统设置、隐私与安全性、描述文件里移除可疑配置描述文件。如果插件反复自动回来，说明母程序仍在，需继续查杀。

Q: 破解软件捆绑的插件安全吗？

不安全。破解版软件、游戏外挂、去广告或视频下载工具，以及第三方下载站的高速下载器，是流氓插件最常见的搭车通道，安装时会顺手往浏览器塞一个扩展，同意框常默认勾选、藏在自定义安装深处。它可能篡改主页、劫持搜索、注入广告、收集并贩卖你的浏览记录，严重的还带剪贴板劫持或网银注入。工信部已明令禁止以强制捆绑、静默下载等方式欺骗误导用户安装。最稳妥的做法是不用破解软件、尽量从官网下载；安装任何程序都选自定义安装，逐屏取消附加的扩展和默认主页、搜索更改，装完立刻去扩展页和主页设置检查有没有冒出新东西。

一个浏览器插件能读取你访问的每一个页面、改写页面内容、盯着你复制的每一段文字。国内最常见的是流氓软件捆绑的流氓插件：把你的主页篡改成 hao123、2345、360 导航，往京东、百度链接里悄悄塞返利参数抽成，用「假关闭按钮」诱你点出一堆推广。更狠的是删不掉的强制安装项，和偷光钱包的假 MetaMask。2026 年 1 月国家安全部已发文提示恶意浏览器插件的窃密风险。本文以中国用户的真实处境为主线，讲清这些套路、给出彻底清除残留的步骤，再带你看一遍全球假钱包扩展盗助记词的大潮。

SafeBrowz 威胁研究团队安全研究2026年6月21日14 分钟阅读

快速结论

这是流氓推广与恶意软件，不是正常功能。浏览器扩展只从官方商店（chrome.google.com/webstore 或 microsoftedge.microsoft.com）安装，绝不从破解软件捆绑包、第三方下载站或「装插件才能继续」的网页弹窗里装。主页被篡改成 hao123、2345、360 导航且卸软件后仍残留，根子在残留的快捷方式参数、注册表项和任务计划程序，要从那里清。删不掉、标着「由管理员安装」的强制安装项，多半是恶意软件写进了系统策略，需从策略或注册表清除。钱包扩展只从官网（metamask.io、token.im、tokenpocket.pro、phantom.com）核对后安装，任何索要助记词的扩展都是恶意。已装的请打开 chrome://extensions 或 edge://extensions 逐一核对来源与权限。

一个插件凭什么能干这么多坏事

很多人不理解，一个小小的浏览器插件能干多少坏事。安装扩展时，它常常会要一项权限：「读取和更改你在所访问网站上的所有数据」。这句话听着抽象，实际意味着它能看见你打开的每一个网页、读走页面上的一切（包括你输入的密码、网银验证码、钱包助记词），还能在页面上注入或改写内容。一个正经的翻译或去广告插件确实需要部分这类能力，但同样这项权限落到流氓或恶意插件手里，就是一把万能钥匙。

更麻烦的是，扩展跑在浏览器内部，处在很多安全软件的视野之外。它不像独立木马那样显眼，却能在你毫无察觉时，把你在网银、电商、交易所、钱包页面上的一举一动尽收眼底。2026 年 1 月 30 日，国家安全部专门发文提示：个别恶意浏览器插件以非法收集、后台监控等手段窃取敏感信息，甚至可能成为境外间谍情报机关渗透窃密的突破口，威胁国家安全。在中国，普通用户最先撞上的并不是境外间谍级别的攻击，而是下面这套铺天盖地的「流氓插件」。

国内最常见：流氓软件捆绑的流氓插件与流量劫持

2025 年 11 月，安全厂商火绒发布专项报告，点名以鲁大师（母公司成都奇鲁科技）为首的一批企业，构建了规模庞大的流量劫持产业链，把鲁大师、小鸟壁纸、迅读 PDF 大师等多款常用软件变成推广载体。报告披露的手法很有代表性：用一个「假关闭按钮」诱导点击，无论你点关闭还是放着不管超时，都会触发推广软件的下载安装；通过浏览器弹窗推送「传奇」类页游；还会在你点开京东、百度等链接时，悄悄往链接里插入返利推广参数（如京粉参数）抽取佣金。更阴险的是它会主动规避监督，先匹配你的浏览记录，发现你搜过「劫持」「捆绑」「流氓软件」之类的词就停止推广，避开懂行的人。

这类东西在国内常被统称为「流氓软件」「流氓插件」：它们不一定偷你的钱，但会篡改你的主页、劫持你的搜索、往页面塞广告、把你的浏览数据拿去变现。它和后面要讲的境外盗币扩展是两条不同的路子，但伤害都从同一个地方开始：一个你没真正同意、却装进了浏览器或系统的插件。

主页被篡改成 hao123 / 2345 / 360 导航，卸软件后还残留

最典型的症状，是某天打开浏览器，主页和新标签页变成了 hao123、2345 网址导航或 360 导航，搜索也被导去了别处。这里要说清楚：hao123、2345、360 这些导航站本身是正规网站，问题在于它们被流氓推广手段当成了劫持目的地，把你强行送过去赚流量分成。所以它们是「症状」，不是「罪犯」。

很多人卸载了那个流氓软件，主页却还是改不回来，原因是卸载没清干净残留。劫持往往同时埋在好几个地方，要逐个排查（改注册表前务必先备份，没把握就交给可信安全软件代劳）：

快捷方式「目标」被改。右键浏览器图标 → 属性，看「目标」一栏。正常应只到 chrome.exe 或 msedge.exe 结尾；如果后面被加了一串网址（如 hao123、2345 的地址），把那串网址删掉、只保留到 exe。桌面、任务栏、开始菜单的快捷方式都要一一检查。
注册表残留。在「注册表编辑器」里搜索 hao123、2345 等关键词，谨慎删除明显是导航站劫持的残留项；同时检查 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 等启动项里有没有可疑条目。
任务计划程序残留。打开「任务计划程序」，在列表里找已卸载流氓软件留下的任务（常以软件名或乱码命名、定时重写主页），选中后删除。这一步最容易被忽略，却往往是「改回来又被改」的元凶。
浏览器内设置。回到浏览器的「启动时」「搜索引擎」「新标签页」设置，把它们改回你要的地址。
用强力模式清扫。如果手动清不干净，用火绒或 360 系统急救箱的「强力模式」全盘扫描，它们能识别并清掉常见的主页劫持残留与母程序。

关键认知：只要后台还有一个母程序在反复重写主页和启动项，你手动改多少次它都会再改回去。所以顺序是先杀母程序，再清残留，最后改设置。

这些插件是怎么进来的：破解软件与第三方下载站捆绑

「免费」常常是最贵的。破解版软件、游戏外挂、所谓的「去广告神器」「视频下载器」，以及第三方软件下载站里那些带「高速下载」「官方推荐」按钮的安装包，是流氓插件最主要的搭车通道。你装这些东西时，安装程序会顺手往浏览器或系统里塞一个扩展，安装界面要么根本不提，要么把同意框默认勾上、藏进「自定义安装」深处。

这种做法在中国是明令禁止的。工信部 2023 年 2 月发布的《关于进一步提升移动互联网应用服务能力的通知》明确要求：不得通过「偷梁换柱」「强制捆绑」「静默下载」等方式欺骗、误导用户下载安装，并要求软件可便捷卸载、不得恶意阻挠卸载。换句话说，捆绑流氓插件不是「行业惯例」，而是违规行为。

怎么防：尽量从官网或正规应用商店下载软件，避开第三方下载站的「高速下载器」；安装任何程序都选「自定义/高级安装」，逐屏看清每个勾选项，取消「同时安装某某扩展」「设为默认主页/搜索」之类的附加项；装完立刻打开扩展页和主页设置，检查有没有冒出新东西。

删不掉、标着「由管理员安装」的强制安装插件

这一类最让人抓狂：你在 chrome://extensions 里看到一个陌生插件，旁边写着「由您的组织管理」或「已由管理员安装」，删除按钮是灰色的，根本点不动。你明明是个人电脑，哪来的「管理员」？

答案是：某个恶意软件或流氓程序往你系统的策略里写了一条强制安装规则。在 Windows 上，这通常落在注册表里浏览器策略的强制安装名单（ExtensionInstallForcelist）下，浏览器看到这条「企业策略」就乖乖装上并禁止你卸载，而实际上这条策略是恶意程序冒充 IT 部门写进去的。

怎么清除（Windows）：

先在扩展页记下这个插件的 ID（一串字母）。
用可信安全软件全盘查杀。「删不掉的扩展」往往只是表象，根子是机器上有个母程序在反复重写策略，不清掉它，删了也会回来。
清理被滥用的策略：在「注册表编辑器」中检查 HKLM\SOFTWARE\Policies\Google\Chrome 与 HKCU 对应路径下的 ExtensionInstallForcelist，删掉你不认识的强制安装项；Edge 同理位于 ...\Policies\Microsoft\Edge。改注册表前先备份，没把握就交给专业人士或安全软件。
清理后重启浏览器，回扩展页确认插件已可删除并删掉。如果它又自己回来，说明母程序还在，继续查杀，必要时考虑系统重置。

macOS 上类似机制通过「配置描述文件」（Profiles）实现，可在「系统设置 → 隐私与安全性 → 描述文件」里检查并移除可疑项。

高危权限：装之前先看它要什么

上面几类的伤害，几乎都落在同一项权限上。安装扩展时浏览器会列出它要的权限，最敏感的就是「读取和更改你在所访问网站上的所有数据」。拥有它，扩展就能看到并改写你访问的每一个页面，这正是它能改主页、劫持搜索、注入广告、窃取助记词、篡改网银页面的技术前提。

这不代表所有要这项权限的扩展都坏，很多正经工具确实需要。关键是问自己：这个功能配得上这个权限吗？一个只换换主题颜色的插件要「读取所有网站数据」，就极不合理。国安部的提示里也点到这一点：恶意插件常以「功能优化」「数据同步」为借口，索取「读取浏览历史」「访问本地文件」「获取设备信息」等远超必要的权限。装之前把权限清单和实际功能对一对，要得过分就别装；装好后也可以在扩展详情里把权限收紧为「点击时才生效」或仅在特定网站启用。

全球大潮：假钱包扩展正在批量偷助记词

如果说流氓插件主要损害体验，那么针对加密用户的恶意扩展直接要钱。骗子做一个和 MetaMask、imToken、TokenPocket、Phantom 几乎一样的假钱包扩展，上架商店或挂在仿冒官网上。你以为装的是真钱包，一旦在里面创建或导入钱包、输入那 12 或 24 个单词的助记词，这些词就被发到骗子服务器，钱包随即被清空。2025 到 2026 年，这条路径出了好几起重大事件：

Trust Wallet 供应链攻击（2025 年 12 月）。2025 年 12 月 24 日，攻击者借一次供应链入侵（与 Shai-Hulud 事件相关）拿到了 Trust Wallet 浏览器扩展的开发者密钥，推送了一个植入后门的 v2.68 版本。它在每次解锁时窃取助记词并外传，导致约 850 万美元资产被盗。教训很重：连你早就装好的官方扩展，也可能在某次自动更新后变质，所以「装过的也要定期复查」。
假 Safery 以太坊钱包扩展（2025 年 11 月）。这个上架 Chrome 商店的假钱包把你的助记词编码进伪造的 Sui 区块链地址，再用每笔 0.000001 SUI 的微交易把数据外传，全程不走常规 HTTP 通信，极其隐蔽。它一度在「Ethereum Wallet」搜索结果里排到很靠前，和正牌钱包混在一起。
QuickLens 扩展被劫持（2026 年 2 月）。一个原本正常的 Chrome 扩展易主后，于 2026 年 2 月 17 日的 5.8 版本里植入恶意代码，会检测你是否装了 MetaMask、Phantom、Coinbase Wallet、Trust Wallet 等钱包并窃取助记词，同时用「ClickFix」手法（伪装成浏览器更新提示，诱你复制粘贴运行恶意命令）扩散。
DarkSpectre 行动。一个被研判与中国相关的威胁组织，跨 Chrome、Edge、Firefox 三大浏览器运营恶意扩展，仅最新一批就影响约 220 万用户（多年累计影响数百万），用于劫持搜索、窃取数据、薅返利与盗取会议情报。说明三大浏览器的扩展生态都不是净土。
GreedyBear（2025 年 8 月）。安全公司 Koi Security 披露：攻击者向 Firefox 商店上架 150 多个假钱包扩展，冒充 MetaMask、TronLink、Exodus、Rabby 等，累计盗走超 100 万美元。他们用「扩展挖空」手法先发无害扩展养信誉，再偷偷换成恶意代码绕过审核。

还有一种更隐蔽的变体是剪贴板劫持：恶意扩展在后台盯着你的剪贴板，一旦发现你复制了一串像加密货币地址的字符，就在你粘贴之前把它换成骗子自己的地址。地址又长又乱，很少有人逐字核对，钱就这么进了别人口袋。我们在 imToken / TokenPocket 假钱包索取助记词骗局里详细拆过这套路；那条「ClickFix / 诱你粘贴运行命令」的手法，可看假验证码 ClickFix 骗局与粘贴劫持攻击原理。

钱包扩展的铁律：只从官网（metamask.io、token.im、tokenpocket.pro、phantom.com）给出的官方商店链接安装并核对；任何索要助记词/私钥的扩展都是恶意；高危权限要警惕；供应链攻击意味着已经装过的也要定期复查来源与权限。转账前逐字（至少前后各 6 位）比对粘贴出来的地址，最好用钱包地址簿。

「装插件才能继续观看」的弹窗一律别点

在看片站、盗版资源站或陌生网页上，常弹出像模像样的提示：「您的浏览器缺少必要插件，需更新后才能继续播放视频」或「请安装解码器/播放器扩展以继续下载」，配一个醒目的「立即更新/安装」按钮。这是纯粹的社会工程。真正的浏览器和正规视频网站绝不会用网页弹窗逼你装扩展才能看视频。点下去，你要么被引到一个恶意扩展页，要么直接下载一个伪装成「插件」的恶意程序（前面 QuickLens 的 ClickFix 就是这一套）。这类假下载/假更新页和假软件下载是同一家族，可参考假 ChatGPT / Sora 下载广告骗局。遇到一律关页面，需要的扩展自己去官方商店搜索安装。

SafeBrowz 会标记的诱导安装页（示例）

恶意扩展本身的二进制代码，SafeBrowz 并不去逆向扫描，那是杀毒软件的活，已安装的扩展请用官方商店和权限来核对。但骗子在让你装插件之前，几乎总要先把你引到一个网页上：仿冒钱包官网的假下载页、伪装成「插件更新」的钓鱼弹窗页、或冒充官方商店的山寨页。这些页面活在你的浏览器里，是链接层检测能提前抓住的环节。下面是用于演示的去活化（不可点击）仿冒域名，并非真实服务，方括号是故意加上以防误点的：

metamask-extension-update[.]com
install-video-plugin-now[.]net
chrome-webstore-secure[.]app

看它们的套路：一个让人安心的品牌词（metamask、chrome、webstore）摆在前面，后面缝上「update」「install」「secure」这类动作词和一个真官方绝不会用的后缀。真正的扩展只有一个安装入口，那就是官方商店 chrome.google.com/webstore 与 microsoftedge.microsoft.com，钱包扩展的官方链接则从钱包官网跳转。任何带品牌字样却不是这些域名的「下载/更新/安装」页都值得高度怀疑。拿不准时，先用下面的检测框验一验。

🛡 实时检测

点「安装」之前，先把链接粘到这里

看到一个让你「更新插件」「安装扩展才能继续」或冒充钱包官网的下载页？粘贴到下面。我们的三层引擎（本地 + 接口 + AI）约 3 秒给出结论。免费，无需注册。

使用深度 AI 分析进行完整扫描 → · 不会将任何网址与您的身份关联。

怎么检查浏览器装了哪些扩展

养成定期巡检的习惯，比事后清理省心得多。

打开扩展管理页。Chrome 在地址栏输入 chrome://extensions，Edge 输入 edge://extensions，按回车。这里列出所有已装扩展。
逐一核对来源。认不出的、不记得装过的、名字山寨的，直接禁用或删除。点进每个扩展的「详细信息」可以看到它的安装来源是不是官方商店。
看权限。在详情里查看它要了哪些权限，「读取和更改你在所访问网站上的所有数据」配不上其功能的，删掉或收紧。
留意「由管理员安装」字样。你不在企业域里却出现这行字，说明可能被策略强制安装，按上面的方法清查注册表或描述文件。
开启「开发者模式」看 ID。需要时打开右上角开发者模式，记录可疑扩展的 ID，便于排查与上报。

不确定一个域名是否可信时，可参考我们的如何判断一个网站是不是骗局这份通用清单。

一份可以照着做的检查清单

主页和新标签页是不是被改成了 hao123、2345、360 导航等你没设过的页面。
浏览器图标的快捷方式「目标」里，exe 后面有没有被加上一串网址。
chrome://extensions 或 edge://extensions 里有没有认不出、山寨、或标着「由管理员安装」的扩展。
每个扩展要的权限是否远超其功能，尤其是「读取和更改你在所访问网站上的所有数据」。
任务计划程序里有没有已卸载流氓软件留下的、定时重写主页的残留任务。
最近有没有装过破解软件、外挂、第三方下载站的安装包，装完是否冒出新插件或新主页。
钱包类扩展是不是从官网核对后、经官方商店安装的；有没有任何插件或网页让你输入过助记词。

SafeBrowz 在网络层面看到了什么

恶意扩展的代码本身，SafeBrowz 不去扫描其二进制，请用官方商店核对扩展、用杀毒软件查杀程序。但 SafeBrowz 专攻骗局的另一半，也就是链接与页面层，而这恰恰是「让你装插件」这一步绕不开的环节。在三层检测里，这类诱导安装页表现高度一致。

第一，假下载页与仿冒商店页常搭在新注册或免费托管的域名上。这类站点往往在群发推广前几天甚至几小时才注册，单凭域名年龄信号就能在内容加载前标出一大批。

第二，是品牌冒充本身。一个 metamask、chrome、webstore 品牌词出现在并非官方的域名上（无论连字符拼接还是挂在免费托管子域名上），本身就是高置信度的冒充信号，与页面写了什么无关。

第三，内容是一份冒充画像。一个伪装成「插件更新」的弹窗页、一个索要助记词的假钱包页、一个套用官方商店外观的山寨页，全由毫无官方背书的主机提供，这是教科书式的诱导安装钓鱼，内容层分析能抓住任何黑名单都没见过的全新仿冒站。

现在该怎么做

如果你怀疑自己装了流氓或恶意扩展、主页被劫持，或刚在某个可疑页面输入过助记词，按下面的顺序处置。

立刻打开扩展页删除可疑插件。chrome://extensions 或 edge://extensions，移除所有认不出、山寨、或权限过大的扩展。删不掉的按上文清查系统策略与注册表。
清主页劫持残留。检查快捷方式「目标」、注册表与任务计划程序里的残留项，先杀母程序再清残留，最后把主页和搜索改回去，必要时用火绒或 360 系统急救箱强力模式。
如果输入过钱包助记词，把资产抢救转走。用一台干净设备、生成一组全新助记词的全新钱包，尽快把仍未被盗的资产转出，旧助记词永久作废、绝不再用。详见助记词被盗后该怎么办。
全盘杀毒。用可信安全软件查杀，排除有没有在后台重写策略、做剪贴板劫持的母程序。
改密码、清会话。恶意扩展可能已读取过你的网银、邮箱、交易所登录态，逐一改密码并退出所有设备的登录。
报案与举报。在中国大陆，遇到诈骗拨 110 报警并拨 96110 全国反诈专线，或用「国家反诈中心」App 一键举报；把流氓软件、捆绑安装、骚扰弹窗等线索举报到工信部委托的 12321（网络不良与垃圾信息举报受理中心，电话或 www.12321.cn）；若怀疑涉及窃密、间谍等危害国家安全的情形，可向国家安全机关举报（电话 12339 或 www.12339.gov.cn）。在香港拨防騙易热线 18222，紧急情况拨 999；在台湾拨反詐騙專線 165。请保留页面截图、扩展 ID、转账记录作为证据。加密资产一旦被盗通常无法追回，举报主要用于止损、留证和帮助他人，预防才是关键。
定下一条家庭铁律。扩展只从官方商店装，网页弹窗让装的一律不装，钱包助记词永远不输入到任何插件或网页。

SafeBrowz 如何拦截此威胁

SafeBrowz 采用 3 层检测架构：本地 + API + AI。它扫描的是链接与页面层（诱导安装页、假下载页、仿冒官网与商店页），不扫描已安装扩展的二进制，请用官方商店核对扩展。

第 1 层 - 本地检测：60+ URL 模式 + 550+ 品牌专属签名（含西里尔字母与 Punycode 同形异义变体）+ 社区白名单/黑名单，全部在扩展程序中直接运行，在页面渲染之前完成。能即时抓住免费托管子域名或连字符域名上的钱包与浏览器品牌冒充，以及「extension-update」「install-plugin」这类仿冒家族。
第 2 层 - API 检查：聚合 Google Safe Browsing、PhishTank、URLhaus、ScamAdviser，外加域名年龄查询（多数假下载/更新页只有几天甚至几小时历史）与 30+ 诈骗 TLD。
第 3 层 - AI 深度扫描：支持 100+ 语言的内容感知品牌冒充分析，能抓住任何黑名单都没见过的全新仿冒页，包括伪装成「插件更新」、假钱包安装、套用官方商店外观的页面。

检测签名源自威胁情报研究和我们内部的品牌数据库，而非用户浏览数据。SafeBrowz 不存储每个用户的浏览历史。不想安装任何东西的人，可以使用同一引擎驱动的免费公共网址检测工具。

常见问题

如何检查浏览器装了哪些扩展？

Chrome 在地址栏输入 chrome://extensions 并回车，Edge 输入 edge://extensions，即可看到所有已装扩展。逐一核对：认不出、不记得装过、名字山寨的，禁用或删除；点「详细信息」查看安装来源是否为官方商店，以及它申请了哪些权限。特别留意「读取和更改你在所访问网站上的所有数据」这项高危权限，配不上扩展功能的应当移除或收紧。还要注意有没有「由您的组织管理」或「已由管理员安装」字样，你不在企业域里却出现它，可能是被恶意策略强制安装。

主页被篡改成hao123/2345怎么彻底清除？

关键是清干净残留，否则卸了软件主页还会被改回去。先用可信安全软件杀掉后台反复重写主页的母程序，再按四处排查：一是右键浏览器图标看「目标」，把 exe 后面被加的网址删掉；二是注册表里搜 hao123、2345 等关键词，谨慎删除明显的劫持残留项，并检查启动项；三是「任务计划程序」里删掉已卸载流氓软件留下的定时改主页任务；四是回浏览器把「启动时」「搜索引擎」「新标签页」改回去。手动清不净时用火绒或 360 系统急救箱的强力模式全盘扫描。hao123、2345、360 导航本身是正规网站，这里是它们被流氓推广当成了劫持目的地。

强制安装、无法删除的插件怎么办？

删除按钮变灰、标着「由管理员安装」，通常是某个恶意或流氓程序往系统策略里写了强制安装规则。在 Windows 上先用可信安全软件全盘查杀（根子往往是后台一个反复重写策略的母程序），再检查注册表中 HKLM\SOFTWARE\Policies\Google\Chrome 和 Edge 对应路径下的 ExtensionInstallForcelist，删掉不认识的强制项（改注册表前先备份，没把握请交给专业人士）。清理后重启浏览器删除该扩展。macOS 上则在「系统设置、隐私与安全性、描述文件」里移除可疑配置描述文件。如果插件反复自动回来，说明母程序仍在，需继续查杀。

钱包扩展会偷助记词吗？

假的钱包扩展会。骗子做出与 MetaMask、imToken、TokenPocket、Phantom 几乎一样的假插件，一旦你在里面输入那 12 或 24 个单词的助记词，它就直接发给骗子，钱包随即被清空。2025 年 8 月的 GreedyBear 行动用 150 多个假钱包扩展盗走超过 100 万美元，2025 年 12 月连官方的 Trust Wallet 扩展也因供应链攻击被植入后门、约 850 万美元被盗。真正的钱包扩展只从其官网（metamask.io、token.im、tokenpocket.pro、phantom.com）核对后经官方商店安装，助记词只在你自己的钱包里使用，绝不输入到任何让你「验证、同步、恢复」的网页或可疑插件；由于存在供应链攻击，已装过的扩展也要定期复查来源与权限。

破解软件捆绑的插件安全吗？

不安全。破解版软件、游戏外挂、「去广告、视频下载」工具，以及第三方下载站的「高速下载器」，是流氓插件最常见的搭车通道，安装时会顺手往浏览器塞一个扩展，同意框常默认勾选、藏在自定义安装深处。它可能篡改主页、劫持搜索、注入广告、收集并贩卖你的浏览记录，严重的还带剪贴板劫持或网银注入。工信部已明令禁止以强制捆绑、静默下载等方式欺骗误导用户安装。最稳妥的做法是不用破解软件、尽量从官网下载；安装任何程序都选「自定义安装」，逐屏取消附加的扩展和默认主页、搜索更改，装完立刻去扩展页和主页设置检查有没有冒出新东西。

我该如何举报这种骗局？

在中国大陆，遇到诈骗拨 110 报警并拨 96110 全国反诈专线，或用国家反诈中心 App 一键举报；把流氓软件、捆绑安装、骚扰弹窗等线索举报到工信部委托的 12321（网络不良与垃圾信息举报受理中心，电话或 www.12321.cn）；若怀疑涉及窃密、间谍等危害国家安全的情形，可向国家安全机关举报（电话 12339 或 www.12339.gov.cn）。在香港拨防騙易 18222，紧急情况拨 999；在台湾拨反詐騙專線 165。请附上诈骗页网址、可疑扩展的 ID 与名称、弹窗或邮件截图，以及任何链上转账记录。加密资产被盗通常无法追回，举报主要用于止损、留证与帮助他人，预防才是关键。

免费安装 SafeBrowz

添加这款浏览器扩展，它会扫描每一个链接，包括那个让你「更新插件、安装扩展、下载钱包」的页面，在页面渲染之前完成。永久免费。

添加到 Chrome 添加到 Firefox 添加到 Edge