Вообще-то возможностей защиты море, только кто их не знает, кто не использует.
1. Самое слабое если мозгов нет, да только ветер гуляет в голове.
2. Расширение не инициирует соединения. Это стандартная проверка обновлений. Её можно отключить, сбросив соответствующий флажок в настойках (вкладка «Дополнительно»).
3. Не помню как в двойке, а в тройке обновления ищутся только на addons.mozilla.org (которое по протоколу https). С других сайтов уже не ищет. (У меня обновилось расширение, но его нет на АМО и обновление не находилось; через пару недель так заметил что обновилось и скачал заново)
4. Про защиту беспроводных каналов связи не нам судить, но думаю средства «предохранения» есть.
5. По поводу панелей ничего не скажу. Кстати около 100 не так давно были удалены с АМО, так использовались в фишинговых целях. Также на АМО есть ссылка, ткнув в которую можно сообщить наверх о ваших подозрениях, а там уже посмотрят код и решат. У расширений гугла есть подписи (все видели красными буквами "не подписано" при установке; если файл какой-то меняется, то подпись исчезает). Вообще любое расширение может иметь таковую, но этим ещё не пользуются (но как потенциальные просторы для расширения есть).
6. Расширения скачиваются и устанавливаются независимо от прав пользователя? не смешите мои тапочки. Чтобы его скачать выведется окно (если сохранять), где пользователь должен сделать выбор. Если устанавливать прям с сайтов, то всё равно будет выведено предупреждение о попытке установки, и опять же пользователю придётся разрешить самому установку (т.е. пользователь опять сам разрешит потенциально "хакнуть" его).
7. Google Pack к Firefox'у не относится. Его сделал гугл, к нему и претензии.