V2EX Polish 2.4.27 VT分析：www.virustotal.com/gui/file/2cebcf1e80476fcb6ecc1642ecf25965a3c94d34deddf204e633ad2277264082

虽然 V2EX Polish 2.4.27 的核心功能与其声明的用途一致，但存在两个重大隐患，使其被归类为“可疑（SUSPICIOUS）”：

1. 任意代码执行漏洞（高危）：
- 技术细节：`scripts/web_accessible_resources.min.js` 文件使用了 `Function()` 构造函数来执行通过 `window.postMessage` 接收的 JavaScript 表达式。
- 安全风险：该机制允许在 V2EX 域名上下文中执行任意代码。虽然目前主要用于更新 CSRF token (`window.once`) 或操作 CodeMirror 编辑器，但这种安全反模式可能被利用进行跨站脚本攻击 (XSS) 或其他恶意操作。

2. 自动数据同步（隐私担忧）：
- 技术细节：扩展会自动将用户设置、阅读列表（包含 URL 和内容片段）以及自定义成员标签同步到 V2EX 平台的私人笔记中。
- 隐私风险：同步操作在本地设置更改时自动触发，且未经过用户针对每次同步的明确、细粒度授权。用户可能在未意识到数据被上传至第三方服务器（即 V2EX 账号）的情况下泄露本地扩展数据。

如何才能不显示“屏蔽” “预览”，鼠标移到哪闪到哪，比较影响观感。

比 v2ex plus 好用，而且界面非常的好看