BMR7AICyber/SCOPE

# Scope **S.C.O.P.E.** - 浏览器扩展风险与治理审计工具。这是一款安全优先的诊断工具，旨在弥合浏览器扩展治理中的可见性差距。它会对本地扩展进行审计，检查高风险权限、旧版 Manifest V2 漏洞，以及能够导致 GenAI prompt 被窃取和 SaaS 身份被盗用的“有毒权限组合”。 S.C.O.P.E - 供应链监督与权限评估器 **核心研究功能：** **1. 启发式威胁检测：** 自动标记“Prompt 窃取者”配置文件（Universal Host Access + Script Injection）。 **2. 权限密度评分：** 基于包含 20 多个关键权限（Sockets、FileSystem、Identity 等）的加权矩阵计算实证风险评分。 **3. 深度 Manifest 分析：** 异步尝试绕过浏览器沙箱以检查原始 manifest.json 文件，查找隐藏风险，例如 externally_connectable: *。 **4. 加固架构：** 采用抗 XSS 渲染 设计，并实施严格的 Content Security Policy (CSP)，以防止跨扩展利用。 **如何安装（面向研究人员）：** 1. 克隆此仓库。 2. 打开 Chrome 并导航到 chrome://extensions。 3. 启用开发者模式（右上角开关）。 4. 点击“加载已解压的扩展程序”并选择仓库文件夹。 5. 点击 S.C.O.P.E. 图标以生成您的资产风险报告。 **技术风险映射：** | Permission | Threat Profile | | :--- | :--- | | socket | C2 Channel / Firewall Bypass | | cookies | Session Hijacking / MFA Bypass | | scripting | DOM Injection / Prompt Poaching | | fileSystem | Local Data Exfiltration | **免责声明** S.C.O.P.E.（供应链监督与权限评估器）是一款概念验证 诊断工具，仅用于安全研究、审计和教育目的。 风险评估，非保证：本工具根据声明的权限和启发式模式识别潜在风险。“严重”评分并不证明扩展是恶意的。恶意意图可能通过混淆或未来更新存在于具有最小权限的扩展中。 无补救措施：S.C.O.P.E. 是被动扫描器。它不会禁用、移除或修改其他扩展。基于此工具输出采取的任何管理操作（例如卸载企业软件）均由用户/组织自行决定并承担风险。 “按原样”软件：本软件“按原样”提供，不附带任何种类的明示或暗示保证。在任何情况下，作者或版权持有人均不对因使用本工具而产生的任何索赔、损害或其他责任负责。 实验性获取：“深度扫描”功能尝试获取本地 manifest 文件。虽然设计了安全的错误处理机制，但此行为可能会在开发者控制台中触发浏览器级别的安全警告。这是预期行为，不会影响浏览器稳定性。

标签：C2 通信检测, Chrome Extension, CSP 绕过, DevSecOps, DNS 反向解析, DNS枚举, GenAI 安全, IP 地址批量处理, Manifest V2, Manifest V3, Prompt Poaching, SaaS 身份盗窃, Toxic Permission Combinations, XSS 防护, 上游代理, 企业合规, 会话劫持, 提示词窃取, 插件安全审计, 数据可视化, 数据渗漏, 有毒权限组合, 权限治理, 权限评分, 浏览器扩展安全, 网络安全工具, 自定义脚本, 谷歌浏览器插件, 错误基检测, 静态代码分析, 风险评估工具