Chrome에 이메일이 로그인되어 있다면 매우 위험합니다

@TOMAW135 Chrome에 여전히 이메일이 남아 있다면(또는 Google 로그인, 저장된 비밀번호, 쿠키가 있는 기본 프로필이 있다면) 매우 안전하지 않습니다.

해당 리포지토리(https://t.co/S0AbwadKqO) 자체는 Chrome DevTools 팀에서 공식적으로 제공하는 오픈 소스(open-source)이며 합법적(legitimate)입니다. 하지만 작동 방식이 오히려 위험성을 높입니다. 이 도구는 AI 에이전트(Claude, Cursor, Copilot 등)에게 Chrome DevTools Protocol에 대한 전체 액세스 권한을 부여합니다.

AI는 브라우저의 모든 데이터인 쿠키(cookies), localStorage, sessionStorage, 네트워크 요청(network request), 콘솔(console), DOM, 심지어 스크린샷(screenshot)과 메모리 힙(memory heap)까지 검사(inspect), 읽기, 수정(modify)할 수 있습니다.

README 자체에도 명확한 경고가 있습니다: “chrome-devtools-mcp는 브라우저 인스턴스의 콘텐츠를 MCP 클라이언트에 노출하여, 클라이언트가 브라우저나 DevTools의 모든 데이터를 검사, 디버깅 및 수정할 수 있도록 합니다. MCP 클라이언트와 공유하고 싶지 않은 민감하거나 개인적인 정보는 공유하지 마십시오.”

따라서 Chrome에 이메일(Gmail 등)이 로그인되어 있다면, AI는 현재 활성화된 쿠키/세션(cookies/session)을 읽을 수 있습니다. 해당 데이터는 AI가 도구를 호출할 때 AI 서버(Anthropic, OpenAI 등)로 다시 전송될 수 있습니다. 이는 마치 외부인에게 집 열쇠를 건네주는 것과 같습니다.

(계속 시도하고 싶을 경우) 더 안전하게 만드는 방법:

1. --isolated 플래그 사용 → 완료 후 자동으로 삭제되는 임시 프로필(temporary profile)을 생성합니다 (깨끗하며, 귀하의 이메일/비밀번호가 없습니다).
2. 또는 별도의 Chrome 프로필(기본 프로필이 아닌 것)을 생성하고 다른 --user-data-dir을 사용합니다.
3. MCP가 켜져 있는 동안에는 민감한 데이터가 있는 탭을 절대 열지 마십시오.
4. --no-usage-statistics를 사용하여 사용 통계(usage statistics)를 끕니다.

핵심 요약: 이 리포지토리는 프론트엔드(frontend) 디버깅에는 훌륭하지만, 이메일/비밀번호가 들어있는 Chrome에서는 사용하지 마십시오. 빈 프로필이나 격리 모드(isolated mode)를 사용하는 것이 더 좋습니다. 확신이 서지 않는다면 일단 건너뛰거나 GitHub의 이슈(issue)에서 직접 문의하는 것이 좋습니다.