@mxT52CRuqR6o5 #86 都说了是黑盒测试，不是恶意程度的问题，而是恶意行为是否容易发现
@xuejianxianzun #88 审核功能跟审查代码是两回事，edge 肯定是要交钱的，不然开发者账号都不给开通
@xuejianxianzun #89 倒没遇到过要求提供链接的情况
@xuejianxianzun #90 现在新上架 chrome 商店的扩展，不是要对每项权限写详细说明吗

@okampfer #80 公平的讲，不是 edge 商店的问题，审查代码成本太高了，chrome 商店也一堆恶意扩展

@youthfire #78 没必要换所有的啊……官方有上传到 edge 商店就用 edge 商店的，不确定是官方上传的再换啊

@lilydjwg #74 https://addons.mozilla.org/zh-CN/firefox/addon/proxy-switchyomega/ 我把这扩展原原本本地传到了 firefox 的商店，事实证明 mozilla 的审核也发现不了恶意脚本

自动审核只发现了两个无关痛痒的问题：一个是 manifest.json 里的 permissions 有重复字段，这是恶意扩展另加的，估计是复制粘贴过来也没看，删掉重复的就好；另一个是 angular 的版本太低，这个是原本就有的，这自动审核也只是检测注释里的版本号，删掉注释就过了

https://i.v2ex.co/i757gcrr.png

昨天上传的，今天就通过了，这也印证了我的想法，所谓人工审核就是黑盒测试，能用就给过，根本不会检测恶意代码

@lilydjwg 点开图片就能看到大图，可以放大的，一点也不糊
你不会真的以为 Mozilla 会雇一堆工程师一行行审核代码吧，比如这个扩展，在没有原始代码的情况下，一个个文件找要多久。我估计那些审核都是黑盒的，不可能一行行审计代码

@lilydjwg #70 我不是纠结这个，我是想说人工审核的成本太高了，连谷歌和微软都没能力搞的事情，mozilla 也没能力搞。而且为啥要直接写 eval 给人抓现行呢，来看看高手怎么玩的

https://i.v2ex.co/Q5LcH7UIl.jpeg

当然，这里的 jquery 是被人魔改后的，490837..toString(32) 估计也不是这个人发明的

@lilydjwg 之前不是说了根本没有程序可以区分代码是否用了混淆吗？除了这种特征明显，用公开工具生成的混淆代码。我写一个变量和函数名全是用拼音，冗余代码一堆，完全没有代码复用，全是复制粘贴，就算放 github 上也没人想看的那种代码，这算不算混淆？有任何规定说代码写的烂不允许上架吗？你确定这样搞能触发人工审核吗？而且我都怀疑 Mozilla 有那人力搞人工审核吗？

杀毒软件不也是靠特征码，比如我写个程序上传用户数据到我自己的服务器，杀毒软件能做的无非是在程序访问敏感文件的时候拦截，最终判断还是交给用户，但用户也不知道程序访问文件是否正常啊，比如搜索程序访问文件是很正常的行为，但要是这搜索程序还附带偷偷上传文件的功能呢？另外像用到了 p2p 技术的下载软件和网盘程序，读取文件并上传大量数据都是很正常的行为，如何把这种程序跟故意上传用户隐私的程序区分开呢？

说到底，这种连普通用户都无法区分的行为，不要指望靠机器来识别。无论是浏览器扩展的应用商店还是手机 app 的应用商店，都没有那么多人力来人工审核代码，现在大家做的无非就是细化各种权限，最终交给用户来决定是否给予相应的权限。

@lilydjwg #64 这脚本也没什么特殊行为啊，就是修改页面，很多扩展都会修改页面，甚至一些比价插件也会往页面插入返利网站的链接，靠程序根本没法区分。

我之所以能发现问题，一是有原始代码供对比，二是上传扩展的人明显就是个脚本小子，这些混淆都是用工具生成的，特征太明显了，正常人根本不会这么写代码。但如果是一个程序员想上传恶意扩展呢，都不需要技术多么牛逼，把代码写得跟屎一样就行，再加一堆没用的代码，谁能审核出来，总不能因为代码写得烂就拒绝上架吧 https://i.v2ex.co/504J5BO2.png

flask 是玩具还行，原来过去几年我一直在玩玩具 https://i.v2ex.co/504J5BO2.png

@lilydjwg 最关键的一步你倒是省略了……要是有程序能理解代码逻辑，那编程 AI 早实现了

@lilydjwg #56 人工解这种程度的混淆比较简单，一个有经验的程序员十几分钟就能搞定，但要搞个自动化程序来识别就比较困难了