無邪気なインストールの代償
Webブラウザは現代における最も重要なOSだが、私たちはその上に無数の「ブラックボックス」を平気でインストールしている。Chrome拡張機能のことだ。
「ちょっと便利だから」というだけの理由で、すべてのWebアクセス履歴、パスワードの入力フォーム、そしてCookieへのフルアクセス権限を、素性も知れないサードパーティに渡してしまっている。ある日突然、お気に入りだった拡張機能が見知らぬ企業に買収され、裏でユーザーデータを抜き取るスパイウェアへと変貌する——そんな事件を、この15年で嫌というほど見てきた。
我々はいつまで、このブラウザ上のロシアンルーレットを続けるのだろうか。
12の拡張機能を1つに捨てる日
著名なインディーハッカーであるlevelsioが公開した「superlevels」は、このセキュリティ的ジレンマに対する強烈なアンチテーゼだ。
彼のアプローチは極めてシンプルである。「出所の怪しい拡張機能を大量に入れるくらいなら、必須機能をすべて1つの安全なオープンソースパッケージにまとめてしまえ」という思想だ。非アクティブなタブを自動で閉じるTab Cleaner、Cookieの確認と編集ができるCookie Editor、あらゆるサイトを暗くするDark Mode、YouTubeのアルゴリズム推薦を消し去るYouTube Unhook、さらにはGDPRの鬱陶しい同意ポップアップの自動非表示まで。
普段なら別々の作者が作った12個以上の拡張機能をインストールし、それぞれに強力な権限を与えなければならないところを、superlevelsはたった1つのパッケージでカバーしてしまう。
| 比較軸 | 従来のChrome拡張 | superlevels |
|---|---|---|
| ソースコード | クローズド(難読化されていることが多い) | 完全オープンソース |
| 機能の粒度 | 単機能(結果的に大量にインストールする羽目になる) | 12以上の汎用機能をオールインワン |
| 安全性の担保 | Webストアのザルな審査やユーザーレビューに依存 | ユーザー自身がインストール前に中身を確認 |
| データリスク | 開発元の売却等による突然のマルウェア化 | 外部との不透明な通信がないことを自己検証可能 |
「AIに監査させる」という新たな作法
機能の網羅性もさることながら、本作の真の価値は「ソフトウェアの自己防衛におけるパラダイムシフト」を真っ向から提案している点にある。
このリポジトリのREADMEには、次のような痛快な指示が書かれている。
「インストールする前に、CursorやClaude CodeなどのAIツールにこのソースコードを読み込ませろ。そして『このChrome拡張にセキュリティの脆弱性、マルウェア、スパイウェア、データ流出などの怪しい挙動がないか分析しろ』と命令し、そのレポートを読んでからインストールしろ」
これまでは、いくらオープンソースであっても、複数のJavaScriptファイルを一般のユーザーが隅々まで監査するのは現実的ではなかった。だから我々はストアを信じるしかなかったのだ。しかし今はLLMがある。AIを「コードを書くため」だけでなく「安全性を担保するための専属セキュリティエンジニア」として使うという発想である。
levelsioは「すべてのChrome拡張でこれをやるべきだ」と主張している。ストアの審査という名ばかりの安全網にすがるのではなく、自分の目で、あるいは自分の手元のAIの目で安全性を確認した上でインストールする。これがこれからの自衛のスタンダードになるだろう。
コントロールを取り戻す
ブラックボックス化された便利なツールに盲目的に依存する時代は、もう終わりにしよう。自分のブラウザ環境は、自分自身で監査し、掌握する。superlevelsは、そんな自律的なWeb体験をユーザーの手に取り戻すための、鮮やかな第一歩だ。
参考リポジトリ: levelsio/superlevels
Photo by Zulfugar Karimov on Unsplash