在 DEF CON 33 上，捷克共和国安全研究员 Marek Tóth 公布了一系列未修补的零日点击劫持安全漏洞，这些漏洞影响了各种密码管理器的基于浏览器的插件，包括：1Password、Bitwarden、Dashlane、iCloud Passwords、Keeper、LastPass、LogMeOnce、NordPass、ProtonPass 和 RoboForm。自该研究在 DEFCON（2025 年 8 月 9 日）上发表以来，已经进行了几项更新。例如，Bitwarden 在 2025 年 8 月 1 日的版本中正在修复这个问题，而 Enpass 在 2025 年 8 月 13 日发布的 6.11.6 版本中已经修复了这个问题。然而，KeePassXC-Browser 版本小于等于 1.9.9.2 仍然易受攻击。Marek Tóth 还建立了一个新的演示站点，其中包括 1Password、Bitwarden、iCloud 密码、KeePassXC-Browser 和 LastPass，以展示这些服务易受攻击的情况。报告指出，大约 4000 万活跃安装的密码管理器用户可能面临风险，因为这些用户可能在使用受影响的浏览器扩展。尽管并非所有用户都使用浏览器扩展，但基于 Chromium 的浏览器得到了更广泛的采用，因此这些漏洞的影响范围可能比最初估计的要大。1Password、BitWarden、iCloud Passwords、LastPass 等密码管理器供应商在发布时没有采取行动，这引发了人们对这些公司对用户安全责任的担忧。