크롬(Chrome) 및 엣지(Edge) 웹 스토어에서 제공되는 확장 프로그램의 소스코드를 'Git 클론(clone)'처럼 손쉽게 다운로드하고 분석할 수 있는 새로운 명령줄 도구 'crxray'가 공개되어 주목받고 있습니다. 기존에는 확장 프로그램의 소스코드를 얻으려면 복잡한 브라우저 개발자 도구를 사용하거나, 신뢰하기 어려운 웹사이트를 이용해야 하는 불편함이 있었습니다. 이제 'crxray'를 사용하면 웹 스토어 링크나 확장 프로그램 ID만으로 전체 소스코드를 로컬에 저장하고 즉시 검토할 수 있습니다.
'crxray'는 사용자가 제공한 스토어 URL 또는 확장 프로그램 ID를 바탕으로, 브라우저가 업데이트에 사용하는 공개 엔드포인트에서 CRX 파일을 직접 다운로드합니다. 이후 CRX 파일의 서명 헤더를 제거하고 압축을 해제하여 모든 파일을 로컬 폴더에 저장합니다. 이 과정에서 계정 생성이나 브라우저 플러그인 설치, 수동 작업이 전혀 필요 없습니다. 또한, `--audit` 옵션을 통해 보안 위험 점수, 권한 계층, 의심스러운 패턴, 네트워크 엔드포인트 등을 분석한 보고서를 생성할 수 있으며, `--deobfuscate`와 `--beautify` 옵션으로 난독화된 자바스크립트(JavaScript) 코드를 읽기 쉽게 변환하는 기능도 제공합니다. 이는 개발자가 다른 확장 프로그램의 구조를 학습하거나, 보안 전문가가 잠재적 위협을 사전에 검토하는 데 큰 도움이 됩니다.
'crxray'의 등장은 확장 프로그램 생태계에 여러 긍정적인 영향을 미칠 것으로 예상됩니다. 첫째, 개발자들은 인기 확장 프로그램의 실제 구현 방식을 쉽게 파악하여 자신의 프로젝트에 적용하거나 개선할 수 있습니다. 둘째, 사용자들은 확장 프로그램을 설치하기 전에 소스코드를 직접 검토하여 잠재적인 보안 위험을 미리 확인하고 안전한 선택을 할 수 있게 됩니다. 셋째, AI 에이전트(AI agent)와의 연동을 통해 확장 프로그램 분석 및 감사 작업을 자동화하고 효율성을 높일 수 있습니다. 이는 투명성을 높이고, 확장 프로그램 개발 및 사용 환경의 신뢰도를 향상시키는 중요한 진전으로 평가됩니다.