Hallo Mathias.

Gibt es nicht irgend eine Möglichkeit außer Erfahrungswerten aus der Vergangenheit?

Mehr als die XPI-Dateien zu entpacken (es sind normale ZIP-Archive) und Datei für Datei zu überprüfen fällt mir nicht ein.

Ja - aber wenn das ganz harmlose Plugins sind und die nur irgend wann per Update (die Plugins updaten sich ja ab und an) zu Viren werden dann könnte sich die Seite erst Vertrauen erarbeiten und ihre Software verbreiten und dann irgend wann Zugang zu vielen Systemen bekommen.
Ist natürlich unwahrscheinlich - aber das heißt ja nicht, dass es nicht möglich ist...

Grüße
Maax^