赛门铁克（Symantec）在近期一项大规模安全调查中发现，扩展Chrome应用商店存在一个令人担忧的内藏现象 ：大量浏览器扩展的源代码中直接嵌入了硬编码的API密钥、密钥凭证和令牌。安全这一疏忽已累计影响超过全球两千万用户 ，隐患硬编可能导致数据篡改、云计算码A密钥未授权访问、致超财务损失 ，全球甚至给开发者带来声誉损害。两千临风

赛门铁克专家指出
："这些密钥一旦发布 ，户面任何有意者都能轻易获取——攻击者只需检查扩展安装包即可提取。扩展"从云资源到分析终端
，内藏这些被嵌入的高防服务器安全密钥可能被滥用于多种场景，包括垃圾邮件服务、隐患硬编篡改遥测数据乃至接管基础设施。码A密钥

调查显示多个知名Chrome扩展存在密钥暴露问题，致超以下是关键发现：

（显示硬编码Google Analytics 4 API密钥的代码片段 | 图片来源 ：赛门铁克）

(1) Avast & AVG Online Security（合计700万+用户）

(2) Equatio数学工具（500万+用户）

(3) Awesome Screenshot截图工具（340万+用户）

(4) Microsoft Editor编辑器（200万+用户）

赛门铁克强调："切勿在客户端存储敏感凭证 ，应通过安全后端服务器路由特权操作 。"开发者将密钥直接嵌入代码的行为，无异于主动邀请攻击者利用服务 、耗尽资源或破坏隐私 。免费模板报告总结称 ："清除暴露的密钥...既能维护用户信任，又可避免经济损失，同时确保产品的分析结果安全可靠 。"