Brave 新建 Profile 自动安装扩展的排查记录：Avira 与影刀案例

本文记录一次 Windows 上 Brave 新建 profile 后自动出现浏览器扩展的排查过程，重点分析 Avira、影刀 RPA 两类扩展残留的安装方式、卸载方式与治理建议。

事件缘由

我在 Brave 中频繁创建新的 profile，用于隔离不同账号和不同工作环境。但每次新建 profile 后，Brave 都会提示有外部程序添加了浏览器扩展，例如：

• Avira 相关扩展
• 影刀 RPA 扩展

其中影刀 RPA 的 Chrome Web Store 地址为：

https://chromewebstore.google.com/detail/%E5%BD%B1%E5%88%80rpa/hofgfmmdolnmimplihglefekekfcfijf

扩展 ID 是：

hofgfmmdolnmimplihglefekekfcfijf

Brave 弹窗中的提示语是“计算机上的其他程序添加了一个扩展程序”。这说明它不是 Brave 自己推荐，也不是用户主动从商店点击安装，而是 Chromium 系浏览器支持的“外部扩展安装”机制在起作用。

Chromium 外部扩展安装机制

Chrome/Chromium 在 Windows 上支持通过注册表为浏览器声明外部扩展。浏览器启动或创建新 profile 时，会读取这些元数据，并把对应扩展加入 profile。

常见注册表位置包括：

HKEY_CURRENT_USER\Software\Google\Chrome\Extensions\<extension_id>
HKEY_LOCAL_MACHINE\Software\Google\Chrome\Extensions\<extension_id>
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Google\Chrome\Extensions\<extension_id>

虽然这些路径名字里写的是 Google\Chrome，Brave 作为 Chromium 系浏览器，也会兼容读取部分 Chrome 外部扩展安装元数据。因此，一个写给 Chrome 的外部扩展注册表项，也可能影响 Brave 新建 profile。

Chrome 官方文档给出的 Windows 外部安装推荐方式是写入 update_url，让浏览器从 Chrome Web Store 拉取扩展：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Google\Chrome\Extensions\<extension_id>]
"update_url"="https://clients2.google.com/service/update2/crx"

官方文档同时说明，卸载外部安装的扩展时，应删除对应注册表元数据。

参考文档：

• Chrome 官方：External extensions on Windows, Mac and Linux
  https://developer.chrome.com/docs/extensions/how-to/distribute/install-extensions
• Chromium 源码：扩展安装来源枚举，EXTERNAL_REGISTRY
  https://chromium.googlesource.com/chromium/src/+/c5395a176/extensions/common/manifest.h
• Chromium 源码：外部扩展禁用原因，DISABLE_EXTERNAL_EXTENSION
  https://chromium.googlesource.com/chromium/src/+/refs/heads/main/extensions/browser/disable_reason.h

Avira 是如何被删除的

Avira 的残留属于较标准的 Chrome Web Store 外部安装方式。排查时发现了几个注册表备份文件，内容类似：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Google\Chrome\Extensions\flliilndjeohchalpbbcdekjklbdgfkk]
"update_url"="https://clients2.google.com/service/update2/crx"

同时还出现了另外两个 Avira 相关扩展 ID：

caljgklbbfbcjjanaijlacgncafpegll
ccbpbkebodcjkknkfkpmfeciinhidaeh
flliilndjeohchalpbbcdekjklbdgfkk

它们的特点是：

• 注册表值使用 update_url
• update_url 指向 Chrome Web Store 更新服务
• 没有本地 .crx 路径
• 浏览器需要联网从商店拉取官方签名扩展

删除方式就是备份后删除这些注册表键。例如：

reg export "HKLM\SOFTWARE\WOW6432Node\Google\Chrome\Extensions\flliilndjeohchalpbbcdekjklbdgfkk" ".\chrome-ext-flliilndjeohchalpbbcdekjklbdgfkk.reg" /y
reg delete "HKLM\SOFTWARE\WOW6432Node\Google\Chrome\Extensions\flliilndjeohchalpbbcdekjklbdgfkk" /f

对另外两个扩展 ID 也执行同样操作。删除后，新建 Brave profile 不会再自动提示这些 Avira 扩展。

影刀是如何被删除的

影刀 RPA 的情况更隐蔽。软件已经卸载，但 Brave 新建 profile 仍然提示安装影刀插件。

扩展 ID 是：

hofgfmmdolnmimplihglefekekfcfijf

在 Brave profile 的 Secure Preferences 中可以看到类似状态：

location: 3
external_first_run: True
disable_reasons: 8192
from_webstore: False
path: hofgfmmdolnmimplihglefekekfcfijf\3.1.0.0_0

结合 Chromium 源码：

• location: 3 对应 EXTERNAL_REGISTRY
• disable_reasons: 8192 对应 DISABLE_EXTERNAL_EXTENSION

这说明影刀扩展来自 Windows 注册表外部安装，并且因为是外部程序添加，Brave 会提示用户确认启用或移除。

继续排查后发现真正的残留注册表项：

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-21-2645434948-912892777-583158530-1005\Software\Google\Chrome\Extensions\hofgfmmdolnmimplihglefekekfcfijf]
"path"="C:\\Users\\xxx\\AppData\\Local\\ShadowBot\\support_X64\\Chrome\\ShadowBot-V3.crx"
"version"="3.1.0.0"

它不是 update_url 方式，而是直接指向本机 ShadowBot 目录中的本地 CRX 文件：

C:\Users\xxx\AppData\Local\ShadowBot\support_X64\Chrome\ShadowBot-V3.crx

这就是为什么影刀软件卸载后，Brave 新建 profile 仍然会出现影刀扩展提示：卸载器没有清理 Chrome 外部扩展注册表项。

删除前先做备份：

reg export "HKU\S-1-5-21-2645434948-912892777-583158530-1005\Software\Google\Chrome\Extensions\hofgfmmdolnmimplihglefekekfcfijf" ".\yingdao-extension-backup.reg" /y

然后删除残留键：

reg delete "HKU\S-1-5-21-2645434948-912892777-583158530-1005\Software\Google\Chrome\Extensions\hofgfmmdolnmimplihglefekekfcfijf" /f

删除后，用全新的临时 Brave user-data 目录复测：

$testRoot = "D:\tmp\brave-yingdao-test-after-delete"
$brave = "C:\Program Files\BraveSoftware\Brave-Browser\Application\brave.exe"

Start-Process -FilePath $brave -ArgumentList @(
  "--user-data-dir=$testRoot",
  "--headless=new",
  "--disable-gpu",
  "--no-first-run",
  "--no-default-browser-check",
  "about:blank"
)

rg "hofgfmmdolnmimplihglefekekfcfijf" $testRoot

复测结果为：

NO_HIT_AFTER_DELETE

也就是说，源头注册表键删除后，新建 Brave profile 不再自动注入影刀扩展。

Avira 与影刀两种方式的区别

两者都使用了 Chromium 的外部扩展安装机制，但具体方式不同。

update_url 方式的优点

• 扩展来自 Chrome Web Store，签名和更新链路清晰。
• 不需要保留本地 CRX 文件。
• 删除注册表键后，新 profile 不再触发安装。
• 更符合 Chrome 官方文档对 Windows 外部安装扩展的推荐路径。

update_url 方式的缺点

• 依赖 Chrome Web Store 可访问。
• 只能安装商店中存在且可被该浏览器兼容拉取的扩展。
• 新 profile 仍可能弹出“外部程序添加扩展”的确认提示。

path 本地 CRX 方式的优点

• 可以加载本机打包好的 CRX。
• 不依赖 Chrome Web Store。
• 适合某些私有部署或受控环境。

path 本地 CRX 方式的缺点

• 源文件路径容易残留。
• 本地软件卸载不彻底时，会继续影响新 profile。
• 用户不容易判断扩展来源。
• 可能与 native messaging、本地后台程序绑定，隐私和安全边界更复杂。
• 对普通个人用户来说，维护成本明显更高。

综合来看，如果只是想让自己的新 profile 自动提示安装常用商店扩展，update_url 方式更干净，也更接近 Chrome 官方推荐实践。

封装自己的常用插件安装

如果希望新建 Brave profile 时自动提示安装常用扩展，可以自己维护一组注册表项。以 Bitwarden 为例。

Bitwarden Chrome Web Store 地址：

https://chromewebstore.google.com/detail/bitwarden-password-manage/nngceckbapebfimnlniiiahkandclblb

扩展 ID：

nngceckbapebfimnlniiiahkandclblb

手动操作流程

1. 打开注册表编辑器：

   regedit

2. 创建注册表键：

   HKEY_CURRENT_USER\Software\Google\Chrome\Extensions\nngceckbapebfimnlniiiahkandclblb

3. 在该键下创建字符串值：

   名称: update_url
   类型: REG_SZ
   数据: https://clients2.google.com/service/update2/crx

4. 重启 Brave。
5. 新建 profile。
6. Brave 弹出“外部程序添加了扩展程序”提示时，手动确认启用。

这样做只负责安装扩展，不会复制 Bitwarden 登录状态、密码库、token 或扩展本地数据。对密码管理器来说，这是更安全的边界。

写成自己的 .reg 文件

可以创建一个 install-bitwarden-extension.reg：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Google\Chrome\Extensions\nngceckbapebfimnlniiiahkandclblb]
"update_url"="https://clients2.google.com/service/update2/crx"

双击导入，或用命令导入：

reg import .\install-bitwarden-extension.reg

删除时可以创建 remove-bitwarden-extension.reg：

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Google\Chrome\Extensions\nngceckbapebfimnlniiiahkandclblb]

也可以直接命令删除：

reg delete "HKCU\Software\Google\Chrome\Extensions\nngceckbapebfimnlniiiahkandclblb" /f

多个扩展的模板

如果要维护多个常用扩展，可以把多个扩展 ID 写在同一个 .reg 文件里：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Google\Chrome\Extensions\nngceckbapebfimnlniiiahkandclblb]
"update_url"="https://clients2.google.com/service/update2/crx"

[HKEY_CURRENT_USER\Software\Google\Chrome\Extensions\<another_extension_id>]
"update_url"="https://clients2.google.com/service/update2/crx"

推荐放在 HKCU 而不是 HKLM：

• HKCU 只影响当前 Windows 用户。
• HKLM 影响整台机器，通常需要管理员权限。
• 个人工作流使用 HKCU 更容易备份、迁移和撤销。

不建议使用强制安装策略

Chromium 还有企业策略，例如 ExtensionInstallForcelist。这种方式会强制安装扩展，用户通常无法正常移除。

个人设备上不建议为了“新 profile 自动装常用扩展”使用强制策略。它的体验更接近企业管控，也更容易给未来的自己制造排查成本。

对于个人环境，推荐优先级是：

1. Chrome Web Store 扩展：使用 update_url 外部安装。
2. 私有或内部扩展：优先考虑手动安装、开发者模式、或明确的企业部署策略。
3. 尽量避免长期残留本地 CRX path 注册表项。

本次事件的结论

这次问题不是 Brave 的推荐行为，而是 Chromium 外部扩展安装机制被第三方软件使用后，卸载时没有清理干净。

Avira 的处理比较直接：删除 HKLM\SOFTWARE\WOW6432Node\Google\Chrome\Extensions\<extension_id> 下对应 update_url 注册表键即可。

影刀的问题更典型：卸载后仍留下了 HKU\...\Software\Google\Chrome\Extensions\hofgfmmdolnmimplihglefekekfcfijf，并且指向本机 ShadowBot-V3.crx。删除这个残留键后，用全新 Brave user-data 复测，影刀扩展不再自动出现。

对于自己的常用扩展，可以反过来利用这套机制，但建议只使用 update_url 指向 Chrome Web Store，并把范围控制在 HKCU。这样既能让新 profile 自动提示安装常用扩展，又能保持可见、可删、可迁移。

附：常用排查命令

查某个扩展 ID 是否存在于注册表：

reg query HKCU\Software /f <extension_id> /s /reg:64
reg query HKLM\Software /f <extension_id> /s /reg:64
reg query HKLM\Software /f <extension_id> /s /reg:32

查 Brave profile 中是否已写入扩展：

$id = "<extension_id>"
$root = "$env:LOCALAPPDATA\BraveSoftware\Brave-Browser\User Data"
rg -n -l --hidden $id $root

用全新临时 user-data 目录验证是否还有系统层注入源：

$id = "<extension_id>"
$testRoot = "D:\tmp\brave-extension-test"
$brave = "C:\Program Files\BraveSoftware\Brave-Browser\Application\brave.exe"

Start-Process -FilePath $brave -ArgumentList @(
  "--user-data-dir=$testRoot",
  "--headless=new",
  "--disable-gpu",
  "--no-first-run",
  "--no-default-browser-check",
  "about:blank"
)

Start-Sleep -Seconds 8
rg -n -l --hidden $id $testRoot

记录说明

本文基于 2026-05-06 的本机排查结果、Chrome 官方文档、Chromium 源码与命令行实测整理。

按要求标注：基于 Codex 5.5 等模型联合记录。