TL;DR
Pieter Levels (@levelsio) vừa open-source SuperLevels — một Chrome extension gộp 14 utility (Tab Cleaner, Cookie Editor, Dark Mode, YouTube Unhook, JSON Formatter…) vào một codebase MIT, 381 sao, ~70% JS. Không telemetry, không phone-home, mọi setting nằm trong chrome.storage.local. Cài bằng Load unpacked, sau khi bạn (hoặc Claude/Codex) đọc lại source. Lý do ra đời: extension Chrome ngày càng bị các công ty spyware mua lại rồi push update đánh cắp cookie, session token, lịch sử duyệt — có vụ rút sạch ví crypto.
What's new
Trên X, levelsio gói gọn động cơ: "Tôi vibe-code nó để thay tất cả extension Chrome đang bị các công ty spyware/malware mua lại rồi bán dữ liệu — hoặc tệ hơn, hack tài khoản của bạn." Repo github.com/levelsio/superlevels ra dưới giấy phép MIT, không publish lên Chrome Web Store. Người dùng phải clone về, vào chrome://extensions, bật Developer mode, bấm Load unpacked. Không auto-update — bạn kiểm soát mọi commit chui vào trình duyệt mình.
Why it matters
2025–2026 là năm khủng khiếp với hệ sinh thái extension. Một vài con số đáng chú ý:
- 4,3 triệu user Chrome/Edge dính chiến dịch ShadyPanda kéo dài 7 năm — extension hiền lành, tích đủ vài triệu lượt cài rồi đẩy update kèm backdoor.
- 100+ extension giả bị bắt hijack session và inject ads chỉ trong tháng 5/2025.
- Chiến dịch VK Styles chiếm ~500.000 tài khoản qua extension tuỳ biến giao diện.
- Có chiến dịch enterprise dùng bidirectional cookie injection — bơm session token đánh cắp được vào trình duyệt attacker, bypass cả MFA.
Vấn đề gốc: Chrome Web Store chỉ review lúc submit, không liên tục. Khi extension đổi chủ, update mới đẩy thẳng tới hàng triệu user mà không ai nhận ra. SuperLevels lật ngược mô hình — bạn audit trước khi cài, và chỉ update khi git pull.
14 module trong một extension
| Module | Chức năng |
|---|---|
| Tab Cleaner | Tự đóng tab idle sau 5 phút (mặc định), whitelist host quan trọng |
| Cookie Editor | View/edit/add/delete cookie cho site hiện tại, export JSON, đổi mọi flag (domain, path, SameSite, secure, httpOnly) |
| Redirect Tracer | Hiện toàn bộ chain redirect + status code tới page hiện tại, copy clipboard |
| Dark Mode | Bật dark mode bất kỳ site nào bằng CSS filter, tự re-invert ảnh và video |
| X Dim Mode | 7 palette riêng cho Twitter/X (Dim, Jade, Plum…), preview live |
| JS Toggle | Tắt/bật JavaScript theo từng site, đọc bài hoặc debug không popup |
| GDPR Banner Remover | Auto-hide/click banner OneTrust, CookieBot, Didomi, Quantcast… |
| Live CSS Editor | Viết CSS riêng cho từng domain, áp dụng real-time, hỗ trợ tab indent |
| YouTube Unhook | Xoá home feed, sidebar, Shorts, end screen — vẫn search được |
| Music Recognizer | Nhận diện nhạc đang phát trong tab kiểu Shazam, link YouTube (cần ACRCloud key cá nhân) |
| Picture-in-Picture | Pop video lớn nhất trong tab ra cửa sổ floating |
| Google Map Link Restorer | Phục hồi link bản đồ + preview card trong kết quả Google Search |
| Image Direct View | Trả lại nút "View Image" trong Google Images — link thẳng file gốc |
| JSON Formatter | Tự detect response JSON, syntax highlight, fold/unfold |
Toàn bộ traffic external duy nhất là Music Recognizer gọi ACRCloud, và chỉ chạy khi bạn bấm "Listen" với key của chính mình.
So với extension all-in-one đóng nguồn
| Tiêu chí | Extension all-in-one thông thường | SuperLevels |
|---|---|---|
| Source | Đóng / minified | MIT, full source |
| Rủi ro acquisition | Cao — bán âm thầm, push update | Bạn tự host bản đã audit |
| Telemetry | Thường mờ ám | Không. chrome.storage.local only |
| Customization | Chỉ qua settings UI | Sửa code trực tiếp, AI review |
| Update | Auto qua Web Store | git pull + reload thủ công |
Use cases — ai nên xài
- Privacy-sensitive user: bạn đã không còn tin Chrome Web Store sau loạt scandal 2025.
- Crypto holder: lo session/cookie theft rút ví — SuperLevels cho bạn cookie editor trắng và không có module "phone home".
- Developer: JS toggle, redirect tracer, JSON formatter, live CSS editor — Swiss-army knife debug trong cùng một popup.
- YouTube minimalist: Unhook xoá feed và Shorts, search vẫn hoạt động.
- Vibe-coder: fork về, đưa toàn bộ source cho Claude/Codex, bảo nó cắt module bạn không dùng hoặc thêm tính năng mới — đúng workflow levelsio đề xuất.
Limitations & pricing
Miễn phí, MIT. Nhưng có vài đánh đổi cần biết:
- Không lên Chrome Web Store → không auto-update. Bạn phải
git pullvà reload extension thủ công. - Music Recognizer cần ACRCloud API key cá nhân.
- Manifest V3 permission vẫn rộng vì là all-in-one — trách nhiệm audit nằm về phía bạn (hoặc AI bạn dùng).
- Chính thức Chrome only ở thời điểm launch. MIT cho phép cộng đồng port sang Firefox/Edge.
- Repo còn rất trẻ (39 fork, 0 issue/PR khi launch) — không kỳ vọng support kiểu sản phẩm thương mại.
What's next
levelsio không hứa roadmap tập trung. Triết lý anh nói thẳng: fork, sửa, tự maintain bản của bạn. Đây cũng là điểm hay nhất của SuperLevels — nó không phải sản phẩm, nó là template cho lối nghĩ "vibe-code your own tools, audit before install, no black box in your browser". Nếu bạn đang bay trong AI tooling, đây là bài tập tuyệt vời: throw toàn bộ source vào Claude Code hoặc Codex, hỏi "có gì khả nghi không, có module nào leak data không", rồi build bản riêng.
Nguồn: github.com/levelsio/superlevels, @levelsio launch tweet, The Hacker News, The Register.