Firefox 扩展全抓取与分析：数据背后的技术挑战与安全隐忧

【导语：2026 年，有人尝试抓取并安装所有 Firefox 扩展，通过公共 API 历经多次尝试获取扩展数据，还对扩展进行了多维度分析，揭示了扩展的大小、质量、开发情况及安全隐患等信息。】

突破抓取瓶颈：多策略获取全量扩展数据

Firefox 插件商店公共 API 虽无需身份验证且无速率限制，但搜索 API 仅返回 600 页结果，只能看到 30000 个扩展，不到总数一半。为获取更多扩展，采用不同排序方式，如将默认的 `sort=recommended,users` 改为 `sort=created` 等，还添加 `rating`、`hotness`、`updated` 等排序方式，逐步增加获取的扩展数量。

之后想到使用 `exclude_addons` 方法，可额外获取 20 页数据，但受 URL 长度限制。最终通过按类别过滤并并行抓取每一页数据，基本获取到了所有扩展，共发现 84235 个唯一扩展，比网站显示数量少 8 个。该数据集已上传到 Hugging Face，方便他人使用。

扩展深度剖析：大小、质量与开发者情况

在扩展分析方面，最大的扩展是 [dmitlichess](https://addons.mozilla.org/en-US/firefox/addon/dmitlichess/)，大小为 196.3MB，包含 2000 多个音频文件；最小的扩展是 [theTabs - saver](https://addons.mozilla.org/en-US/firefox/addon/thetabs - saver/)，仅 7518 字节且无代码。

主观上最差的扩展是“Cute doggy - Dog puppies”，客观上是 [Tab Stack for Firefox](https://addons.mozilla.org/en-US/firefox/addon/tab - stack - for - firefox/)。最早的扩展是 [Web Developer](https://addons.mozilla.org/en-US/firefox/addon/web - developer/)，截图最多的是 [RDS Bar](https://addons.mozilla.org/en-US/firefox/addon/rds - bar/)，有 54 张截图。

“竖中指表情贴纸”奖得主 [FalscheLaden](https://addons.mozilla.org/en-US/firefox/addon/falscheladen/) 无用户却请求 3695 个权限。最高产的开发者是 [Dr. B](https://addons.mozilla.org/en-US/firefox/user/18672722/)，发布了 84 个扩展。

钓鱼扩展隐患：安全威胁不容忽视

数据集中存在针对加密钱包的同形攻击扩展，这些扩展实现方式简单，只是弹出表单要求用户输入种子短语并发送到服务器。如 “Іron Wаllеt” 安装后三秒会从 NocoDB 电子表格获取钓鱼页面 URL 并打开。

这些钓鱼扩展有的刷一星评价，有的刷四星评价，情况复杂。向 Mozilla 举报后，相关扩展很快消失。这表明 Firefox 扩展生态存在安全隐患，需要加强监管和审查。

编辑观点：此次对 Firefox 扩展的全面抓取与分析，展现了技术实现的复杂性和扩展生态的多样性。但钓鱼扩展的存在警示着安全问题不容忽视，开发者和平台方需共同努力保障用户安全。