Estoy bastante seguro de que su respuesta se encuentra en el mensaje de error.
El auditor estaba habilitado ya que el servidor no envió un encabezado 'X-XSS-Protection' ni 'Content-Security-Policy'.
Supongo que Google quiere que estés muy seguro de que quieres permitir XSS. Intente ejecutar un servidor local que devuelva cualquiera de estos encabezados:
- X-XSS-Protection
- Política de seguridad del contenido
Esto puede ser bastante molesto si está tratando de hacer una demostración simple utilizando un archivo creado localmente, pero creo que es en nuestro mejor interés. Puede ser que valga la pena probar Firefox / IE si solo quiere ver / mostrar cómo funciona XSS, pero no desea configurar un servidor http.
EDITAR: también asegúrate de cerrar todas las instancias de Chrome cuando ejecutes una línea de comando.