JSON Formatter Chrome 擴充功能轉為閉源並植入廣告軟體

背景

知名瀏覽器擴充功能 JSON Formatter 的開發者 Callum Locke 近期宣布停止該專案的開源開發，並轉向閉源的商業模式，聲稱是為了開發更全面的 API 瀏覽工具。然而，許多使用者在 Hacker News 上揭露，該擴充功能在更新後不僅變更為閉源，更開始在網頁中植入廣告程式與地理位置追蹤腳本，引發社群對擴充功能安全性的激烈討論。

社群觀點

社群對此事件展現出強烈的反感與警覺。許多開發者在檢查瀏覽器控制台時，發現了可疑的廣告元素注入，甚至在本地端開發環境中也能看到這些「討錢」的廣告標籤。社群普遍認為，開發者雖然有權將專案轉為商業化，但在未明確告知使用者的情況下，利用既有的龐大安裝量植入廣告程式，是一種極其惡劣且破壞信任的行為。更有留言指出，開發者在 GitHub 上的說明刻意淡化了廣告行為，僅將其包裝成「提供進階功能的商業模式」，這種說法顯然與實際的惡意行為不符。

針對擴充功能市場的現狀，不少討論者認為這是一個「失敗的實驗」。儘管 Google 或 Mozilla 試圖透過審核機制來過濾惡意軟體，但現實中這些平台往往無法及時攔截透過自動更新植入的惡意代碼。有觀點指出，擴充功能的權限系統存在根本性的缺陷，一個單純的 JSON 格式化工具竟然擁有讀取並修改所有網站資料的權限，這讓惡意開發者能輕易地在任何頁面注入腳本。此外，即便開發者本身具有一定的社群聲望，也難保其不會因為利益誘惑而將擴充功能轉手給廣告公司，這種「信譽轉讓」已成為擴充功能生態系中常見的安全漏洞。

在應對方案上，社群出現了幾種不同的聲音。部分開發者選擇回歸原始，利用 AI 工具自行撰寫極簡且功能專一的擴充功能，以避免第三方工具的風險。也有人建議應將常用的功能（如廣告攔截、密碼管理、JSON 格式化）直接內建於瀏覽器中，而非依賴外部擴充。對於必須使用擴充功能的情況，資深開發者建議應養成定期審計已安裝插件的習慣，並對任何要求廣泛權限的工具保持高度懷疑。

延伸閱讀

• JSON Formatter Classic：開發者留下的最後一個開源版本，不含後續的商業化改動。
• JSON Alexander：由開發者 Wes Bos 針對此事件自行開發的開源替代方案。
• ModHeader：留言中提到的另一個曾發生類似廣告注入事件的知名擴充功能。