除了操作dom和js，再补充点吧，你的cookie也是能够被插件所操作的（有很多cookie工具插件），而且估计最大的危险就是cookie被操作了。

1）Chrome插件本身有机制控制，不会无限制的开放很多权限给你
2）页面的DOM元素时可以操作的，Chrome插件是和宿主页面之间是共享DOM对象，但是不共享Javascript上下文容器
也就是说在插件中你不能也无权执行宿主页面中的JS脚本。这个和跨域限制同理
3）既然可以操作DOM元素，那么可以通过插入<script>节点的方式，在宿主页面中写入脚本，在宿主页面中执行
4）基于第3点，你就不要随意的使用别人提供的插件，尽量从官方市场下载经过安全审核的。除非你确认这个插件是可信的或仅限于内部使用的

能操作页面DOM， 也能够网页面嵌入函数执行，至于安全或者隐私问题关键还是看使用者怎么使用。个人感觉当用户安装的时候就应该清楚这个插件能够做什么。

可以参考：

 http://open.chrome.360.cn/extension_dev/overview.html
https://developer.chrome.com/devtools/index

可以很大，大到能获取你本地的资料。如果可以还可以给你安装各种软件。
回到问题：

Q:能操作dom吗？

可以的，不然为什么abp广告插件可以清楚页面浮动广告等。

Q:能自动检测执行js函数吗？

这个没太明白。但是可以在页面加载前执行一些逻辑。比如恶意跳转。钓鱼等。

Q:权限太大会不会导致安全问题，或者用户隐私问题？

会的。而且一定会。因此尽量的从google商店下载。而不要随意拖拽安装第三方的不知名插件。另外。你可以在安装插件的详情中看到该插件获取的所有权限。

以上