恶意网站可以利用浏览器扩展 API，在浏览器内执行代码，来窃取用户敏感信息，比如用户书签、历史浏览记录和 cookies。在这之后，攻击者可能劫持用户的登陆会话。而敏感账户像是电子邮件、社交媒体或工作账户等，可能被攻击者访问。

此外，攻击者这种浏览器扩展 API 的恶意使用方式，可以用来触发恶意文件下载并存储用户设备上。常驻在扩展中存储和检索数据，可以在网络上追踪用户。

这类型攻击的存在已在学术论文中得到验证，研究员用软件识别出近200个将内部扩展 API 通信接口暴露给 Web 应用的扩展，恶意网站可以通过这些软件访问用户浏览器中的数据。

研究院成员在1月初已经向浏览器报告调查结果。各大浏览器基本已采取行动，或下架了有问题扩展。