团队聊天（TACT）系统如今广泛用于在线协作和项目管理。这类系统的一个独特功能是能够集成第三方应用（App扩展），从而扩展其能力，但同时也引入了复杂性，可能给TACT系统及其终端用户带来风险。本文系统性地分析了TACT系统中App扩展的安全风险。研究首先对主流TACT平台（如Slack、Microsoft Teams等）的App扩展机制进行调查，识别出潜在的攻击面。通过设计自动化工具对大量真实世界的App扩展进行安全评估，作者发现了一系列漏洞，包括权限过度授予、数据泄露、恶意行为以及跨应用攻击等。实验结果表明，许多流行的App扩展存在严重安全缺陷，攻击者可能利用这些缺陷窃取敏感信息、冒充用户或破坏协作流程。论文提出了一个安全风险分类框架，并针对平台开发商和App开发者给出了缓解建议。本文适合安全研究人员、TACT平台开发者和企业安全管理员阅读。