Google Chrome 是最受欢迎的网页浏览器。用户可以通过安装扩展程序来自定义浏览器，从而提升浏览体验。这类扩展程序最著名的市场是Chrome Web Store（CWS）。开发者可以将自己的扩展程序上传到CWS，但这些扩展程序只有在经过谷歌自身的审核流程后才能向用户提供。不幸的是，一些恶意扩展程序会绕过这些审核机制，从而威胁到使用这些扩展程序的用户的隐私和安全。

在本文中，我们对CWS中的恶意扩展程序进行了全面的实际安全分析。具体来说，我们研究了依赖监督机器学习（ML）的自动化机制在检测CWS中的恶意扩展程序方面的有效性。为此，我们首先收集了2017年至2023年间发布的7,140个被谷歌标记为恶意的扩展程序，并将这些数据集与2023年之前在CWS上发布或更新的63,598个良性扩展程序结合起来。我们开发了三种基于监督机器学习的分类器，这些分类器既使用了原始特征，也借鉴了以往研究中的技术。实验结果表明，在“实验室环境中”，我们的分类器表现良好（准确率高达98%）。随后，我们又收集了2023年在CWS上发布或最后一次更新的35,462个扩展程序，这些扩展程序的恶意标签信息未知。我们最终识别出了68个成功绕过CWS审核流程的恶意扩展程序，但我们的分类器也报告了超过1,000个可能属于恶意的扩展程序，这可能高估了恶意扩展程序的实际数量。基于这一发现（并通过其他实验和现实分析进一步验证），我们首次揭示了浏览器扩展程序中存在的显著概念漂移现象。我们还提供了事实证据，证明商业检测工具（如VirusTotal）在检测已知恶意扩展程序方面效果不佳。总体而言，我们的研究结果表明，检测恶意浏览器扩展程序是一个根本性难题，目前尚未得到足够的重视。这需要研究界和谷歌本身进一步努力，或许需要调整他们的检测方法。同时，我们已将我们的发现告知了谷歌，并公开了相关研究成果。