代表的なところでは悪意あるflashやjavaが埋め込まれたページでユーザーに明示的な通知無くインストールさせられる例がある
普通に使えてる無害なアドオンでも買収や乗っ取りで有害なアドオンに掏り換わったものが自動アップデートで入ってくる場合もある
ブラウザ自体の脆弱性を突いてインストールを試みるタイプもあるので「設定を変えないと絶対にインストールされない」ということはない
入れたが最後で無効に出来ないものもある
「chromeのセキュリティソフト」は意味不明
Edge用の拡張機能は開発者機能を有効にすれば適当にネットで拾えるものもインストール可能
