LinkedIn掃描6236個(gè)瀏覽器插件：用戶電腦成了免費(fèi)情報(bào)站

你登錄LinkedIn更新簡(jiǎn)歷時(shí)，后臺(tái)有段代碼正在清點(diǎn)你瀏覽器里裝了多少東西。不是3個(gè)，不是30個(gè)，是6236個(gè)。

Fairlinked e.V.發(fā)布的"BrowserGate"報(bào)告披露，微軟旗下的LinkedIn正在用隱藏的JavaScript腳本，對(duì)訪客瀏覽器進(jìn)行大規(guī)模掃描。這段代碼會(huì)檢測(cè)你安裝了哪些瀏覽器擴(kuò)展，同時(shí)收集設(shè)備指紋數(shù)據(jù)，并將結(jié)果與可識(shí)別的用戶檔案關(guān)聯(lián)。

報(bào)告作者指出，這種行為被用于收集敏感的個(gè)人和企業(yè)信息。畢竟LinkedIn賬戶綁定真實(shí)身份、雇主和職位，數(shù)據(jù)價(jià)值遠(yuǎn)高于普通網(wǎng)站。

「LinkedIn掃描了超過200款與其銷售工具直接競(jìng)爭(zhēng)的產(chǎn)品，包括Apollo、Lusha和ZoomInfo。由于LinkedIn掌握每個(gè)用戶的雇主信息，它能繪制出哪些公司使用哪些競(jìng)品。它正在用戶毫不知情的情況下，從瀏覽器中提取數(shù)千家軟件公司的客戶名單。」

報(bào)告還提到更具體的動(dòng)作：「LinkedIn已經(jīng)向第三方工具用戶發(fā)送過執(zhí)法威脅，利用通過秘密掃描獲得的數(shù)據(jù)來鎖定目標(biāo)。」

BleepingComputer通過獨(dú)立測(cè)試驗(yàn)證了部分說法。測(cè)試中發(fā)現(xiàn)LinkedIn加載了一個(gè)文件名隨機(jī)化的JavaScript文件，該腳本通過嘗試訪問特定擴(kuò)展ID關(guān)聯(lián)的文件資源，檢測(cè)6236個(gè)瀏覽器擴(kuò)展是否安裝——這是識(shí)別擴(kuò)展的已知技術(shù)手段。

這種指紋腳本并非首次曝光。2025年初已有報(bào)道，當(dāng)時(shí)僅檢測(cè)約2000個(gè)擴(kuò)展；兩個(gè)月前的GitHub倉(cāng)庫(kù)顯示檢測(cè)數(shù)量為3000個(gè)。從2000到3000再到6236，掃描范圍在持續(xù)擴(kuò)張。

掃描清單的構(gòu)成也耐人尋味。除了與LinkedIn業(yè)務(wù)相關(guān)的擴(kuò)展，腳本還檢測(cè)語(yǔ)言語(yǔ)法工具、稅務(wù)專業(yè)人員軟件等看似無關(guān)的產(chǎn)品。同時(shí)收集的數(shù)據(jù)維度包括CPU核心數(shù)、可用內(nèi)存、屏幕分辨率、時(shí)區(qū)、語(yǔ)言設(shè)置、電池狀態(tài)、音頻信息和存儲(chǔ)特性。

BleepingComputer未能核實(shí)報(bào)告中關(guān)于數(shù)據(jù)用途或是否共享給第三方的說法。但類似的指紋技術(shù)過去曾被用于構(gòu)建唯一瀏覽器檔案，實(shí)現(xiàn)跨網(wǎng)站追蹤用戶。

LinkedIn不否認(rèn)檢測(cè)特定瀏覽器擴(kuò)展，對(duì)BleepingComputer表示這是為了保護(hù)平臺(tái)及其用戶安全。但公司同時(shí)聲稱報(bào)告作者因抓取LinkedIn內(nèi)容、違反使用條款而被封禁賬戶。

企業(yè)用戶的雙重困境

這件事的諷刺之處在于目標(biāo)用戶群體。LinkedIn的核心付費(fèi)客戶是B2B銷售團(tuán)隊(duì)和企業(yè)招聘方，而這些正是最依賴瀏覽器擴(kuò)展工具提升效率的人群。

銷售代表常用Apollo、Lusha等工具獲取潛在客戶聯(lián)系方式，HR團(tuán)隊(duì)依賴各類插件管理招聘流程。LinkedIn一邊向他們收取高額訂閱費(fèi)，一邊掃描識(shí)別其使用的競(jìng)品工具。

更微妙的是信息不對(duì)等。普通用戶看到隱私政策里"收集設(shè)備信息"的條款，很難想到這意味著逐項(xiàng)清點(diǎn)瀏覽器擴(kuò)展。企業(yè)IT部門部署的安全工具、員工個(gè)人安裝的生產(chǎn)力插件，都在掃描范圍內(nèi)。

報(bào)告作者的身份爭(zhēng)議也值得玩味。LinkedIn將其定性為"因違規(guī)被封禁的用戶"，這種回應(yīng)策略在平臺(tái)與用戶沖突中頗為常見——質(zhì)疑爆料者動(dòng)機(jī)，而非直接回應(yīng)技術(shù)細(xì)節(jié)。

瀏覽器擴(kuò)展的"裸奔"現(xiàn)實(shí)

擴(kuò)展檢測(cè)技術(shù)本身并不復(fù)雜。每個(gè)瀏覽器擴(kuò)展都有固定ID，網(wǎng)頁(yè)JavaScript可以嘗試請(qǐng)求擴(kuò)展特有的資源文件，根據(jù)響應(yīng)判斷是否存在。這就像敲門看是否有人應(yīng)——技術(shù)門檻不高，但規(guī)模化執(zhí)行需要投入。

LinkedIn的掃描清單從2000膨脹到6236，說明有人在持續(xù)維護(hù)這份"情報(bào)庫(kù)"。哪些擴(kuò)展被加入、按什么優(yōu)先級(jí)排序、檢測(cè)頻率如何調(diào)整，這些決策背后有明確的產(chǎn)品邏輯。

被掃描的擴(kuò)展類型分布也透露意圖。銷售工具占大頭符合商業(yè)競(jìng)爭(zhēng)邏輯，但語(yǔ)言語(yǔ)法、稅務(wù)軟件等"無關(guān)"類別的存在，暗示掃描可能還有反欺詐、風(fēng)控或更廣泛的畫像用途。

設(shè)備指紋數(shù)據(jù)的收集同樣如此。CPU核心數(shù)和內(nèi)存反映設(shè)備性能層級(jí)，時(shí)區(qū)和語(yǔ)言輔助定位用戶，電池狀態(tài)甚至能判斷設(shè)備是否在充電使用——這些碎片拼起來，比單一Cookie更難清除。

平臺(tái)權(quán)力的邊界爭(zhēng)議

LinkedIn的辯護(hù)邏輯是"保護(hù)平臺(tái)安全"，這在行業(yè)內(nèi)并非孤例。各大平臺(tái)都在用類似技術(shù)識(shí)別自動(dòng)化工具、惡意擴(kuò)展或數(shù)據(jù)抓取行為。爭(zhēng)議點(diǎn)在于尺度：安全檢測(cè)與商業(yè)情報(bào)的邊界在哪里？

報(bào)告中最具殺傷力的指控是"提取競(jìng)爭(zhēng)對(duì)手客戶名單"。如果屬實(shí)，這意味著LinkedIn將用戶設(shè)備變成了市場(chǎng)情報(bào)采集終端，而用戶既不知情也未同意這種特定用途。

歐洲監(jiān)管環(huán)境對(duì)此類行為尤為敏感。Fairlinked e.V.作為德國(guó)注冊(cè)協(xié)會(huì)選擇公開披露，而非直接走監(jiān)管投訴渠道，可能也反映了舉證難度——證明"掃描"與"利用數(shù)據(jù)打擊競(jìng)品"之間的因果鏈需要內(nèi)部信息。

LinkedIn的回應(yīng)策略留下懸念。承認(rèn)技術(shù)存在但質(zhì)疑爆料者動(dòng)機(jī)，這種部分否認(rèn)的姿態(tài)，與完全否認(rèn)或詳細(xì)解釋技術(shù)必要性相比，哪個(gè)更接近真相？

你瀏覽器里現(xiàn)在裝著多少個(gè)擴(kuò)展？其中有多少個(gè)，正在被某個(gè)你登錄過的網(wǎng)站逐項(xiàng)清點(diǎn)？