LinkedIn偷掃6000個瀏覽器插件，10億用戶被蒙在鼓里

打開LinkedIn的瞬間，你的瀏覽器正在被審訊。不是比喻——是一段2.7MB的JavaScript代碼在運行，檢查你裝了哪些插件、CPU幾核、內存多大、電池還剩多少。整個過程你毫不知情，隱私政策里也沒寫。

Fairlinked e.V.（一個歐洲LinkedIn商業用戶協會）2026年4月初發布的調查報告，把這事捅了出來。BleepingComputer獨立驗證后確認：屬實。LinkedIn管這套系統叫"Spectroscopy"，研究者給它起了個更直白的名字——"BrowserGate"。

一次訪問，6222次試探

Spectroscopy的工作方式像安檢掃描儀，但對象是瀏覽器。用戶加載LinkedIn頁面時，腳本同時發起6222個請求，每個請求針對一個特定的Chrome插件ID，試圖訪問該插件的本地文件。文件存在=插件已安裝；404=沒裝。

這6000多個插件名單里有什么？從密碼管理器到廣告攔截器，從開發者工具到隱私保護擴展。AdGuard、uBlock Origin、Privacy Badger這類工具都在掃描范圍內。LinkedIn沒有公布完整名單，但研究者通過逆向工程拼湊出了大部分。

更隱蔽的是硬件指紋采集。腳本收集48項設備和軟件特征：CPU核心數、可用內存、屏幕分辨率、時區、語言設置、電池狀態、音頻硬件信息、存儲容量……單看每一項都平平無奇，組合起來卻能精準鎖定一臺設備——即使你清空了Cookie、換了IP、開了隱私模式。

設備指紋的可怕之處在于持久性。Cookie可以刪，瀏覽器可以重裝，但你的硬件配置變不了。LinkedIn用這48個參數給你造了一張"數字身份證"，跟了你整個會話周期。

數據收集完成后，腳本把它序列化成JSON，用RSA公鑰加密（密鑰內部代號"apfcDfPK"），發往telemetry端點：li/track和/platform-telemetry/li/apfcDf。然后，這個指紋被永久注入HTTP請求頭，跟著你每一次搜索、每一次查看檔案、每一次發消息，源源不斷地傳回LinkedIn服務器。

LinkedIn的辯解：這是為了安全

面對指控，LinkedIn的回應很標準：這是安全措施。公司發言人的說法是，掃描用于檢測"惡意瀏覽器擴展"和"自動化工具"，保護平臺免受爬蟲和虛假賬號侵擾。

這個解釋有合理成分。LinkedIn確實長期被爬蟲困擾——招聘數據、用戶畫像、職場關系網，都是黑產眼里的金礦。檢測異常瀏覽器環境，是反欺詐的常見手段。

但問題在于尺度。6222個插件里，絕大多數與"惡意"無關。廣告攔截器是惡意工具嗎？密碼管理器是自動化威脅嗎？更關鍵的是，用戶從未被明確告知這一行為的存在。隱私政策里找不到"Spectroscopy"或"瀏覽器掃描"的字樣，更別說征得同意。

歐盟《數字服務法》（DSA）和《通用數據保護條例》（GDPR）對"知情同意"有嚴格要求。Fairlinked e.V.選擇在2026年4月發布報告，時機耐人尋味——DSA的全面執法剛進入深水區，Meta、Google都在接受審查，LinkedIn此時被盯上，監管壓力可想而知。

LinkedIn的辯護邏輯有個漏洞：如果真是純安全機制，為何需要把指紋綁定到每一次API請求？反欺詐通常是實時判斷，一次掃描足矣。持續追蹤整個會話，更像是行為畫像而非風險檢測。

技術細節里的權力不對稱

Spectroscopy的設計暴露了一個殘酷現實：平臺與用戶之間的技術能力鴻溝。2.7MB的JavaScript bundle，普通用戶根本不會去看；加密傳輸讓攔截分析變得困難；RSA公鑰加密意味著即使你想知道自己被采集了什么，也解不開那串密文。

研究者能發現BrowserGate，靠的是專業工具和耐心逆向。Fairlinked e.V.的團隊花了數月時間，抓取LinkedIn的前端代碼，逐行分析其混淆后的JavaScript，才拼湊出完整行為鏈。這對普通用戶來說是不可能的任務。

更值得玩味的是命名。"Spectroscopy"（光譜學）是個精心選擇的詞——科學、中立、聽起來像在"分析"而非"監控"。LinkedIn內部用"apfcDfPK"這樣的代號管理密鑰，也是典型的工程文化：系統化管理，術語隔離，讓非技術人員難以介入。

這種信息不對稱不是LinkedIn獨有的。Facebook有"Pixel"，Google有"FLoC"（已廢棄）和"Topics"，TikTok的算法黑箱更是出了名的不透明。但LinkedIn的特殊性在于場景——職場社交，用戶上傳的是簡歷、技能、職業軌跡，敏感度遠超娛樂內容。

你在LinkedIn上假裝對某家公司感興趣，實際在騎驢找馬；你偷偷看前同事的動態，不想留下痕跡；你用插件屏蔽追蹤，以為能隱身。Spectroscopy讓這些小動作都無所遁形。

行業慣例還是越界行為？

瀏覽器指紋采集本身并不新鮮。Cloudflare用它區分人類和機器人，銀行用它檢測異常登錄，電商平臺用它防薅羊毛。爭議點從來不是"能不能做"，而是"做到什么程度"和"用戶知不知道"。

LinkedIn的6222次插件掃描，在行業里屬于極端案例。多數指紋方案采集10-20個特征，聚焦Canvas、WebGL、字體列表等標準參數。主動探測數千個插件ID，相當于把瀏覽器翻了個底朝天，遠超"必要且適度"的邊界。

插件掃描還有副作用：性能損耗。6222個并發請求，即使每個只耗幾毫秒，累積起來也是可觀的資源占用。在配置較低的設備上，這可能導致頁面加載變慢、風扇狂轉、電池驟降。LinkedIn從未披露這些成本由誰承擔。

另一個灰色地帶是擴展生態的損害。Chrome插件開發者依賴用戶信任，而LinkedIn的掃描行為相當于給插件貼標簽——裝了這個？標記一下。這種分類數據如果泄露或被濫用，可能形成對特定工具用戶的歧視性對待。

想象一下：某求職者裝了"Union Organizer"（工會組織工具）插件，LinkedIn的算法會不會下調其"職業穩定性"評分？裝了大量隱私工具的用戶，會不會被標記為"高風險"？這些推測沒有實錘，但系統的存在讓推測有了土壤。

監管視角：歐盟會動手嗎？

Fairlinked e.V.的總部在德國，報告發布時機選在DSA生效后的關鍵窗口。這個選擇不是偶然的——歐盟對平臺透明度的要求，正在從"紙面合規"轉向"技術審計"。

GDPR第5條要求數據收集"限于實現目的所必需的最小范圍"，第6條要求有合法處理依據（通常是同意或合同履行）。LinkedIn的隱私政策如果確實未披露Spectroscopy，可能同時觸犯兩條。

更嚴厲的武器是DSA的第13條和第14條，要求大型平臺公開推薦算法和廣告定向的參數。雖然BrowserGate不直接屬于推薦系統，但其采集的數據很可能流入算法決策。歐盟委員會已經表示，2026年的執法重點包括"隱蔽的數據采集實踐"。

LinkedIn的母公司微軟，在歐盟有復雜的監管歷史。Teams的捆綁銷售調查、OpenAI投資的反壟斷審查，都在進行中。BrowserGate如果升級為正式調查，可能成為壓垮駱駝的又一根稻草。

但監管也有局限。技術取證需要時間，LinkedIn可以辯稱"安全措施"屬于合法利益，整改方案可能是"更新隱私政策"而非停止掃描。真正改變行為，往往需要集體訴訟或巨額罰款——而歐盟的處罰流程動輒數年。

用戶能做什么？

短期來看，選項有限。完全阻止Spectroscopy需要攔截LinkedIn的JavaScript，但這會破壞網站功能。一些技術用戶選擇專用瀏覽器訪問LinkedIn，與日常瀏覽隔離；或者用虛擬機、容器化方案制造"干凈"環境。

插件層面，uBlock Origin等工具可以屏蔽特定請求，但LinkedIn的腳本會更新，貓鼠游戲持續進行。更根本的問題是：為什么用戶需要成為安全專家，才能使用一個職業社交網站？

長期而言，壓力來自集體行動。Fairlinked e.V.的報告是一個開始——商業用戶有動力也有資源推動改變。如果 enough 企業客戶質疑LinkedIn的數據實踐，平臺不得不回應。2023年Twitter（現X）的API收費爭議證明，B端用戶的抗議比C端噪音更有效。

立法層面，美國各州的隱私法正在碎片化推進。加州CPRA、弗吉尼亞VCDPA、科羅拉多CPA，都要求披露"敏感個人信息"的采集。設備指紋是否屬于敏感信息，法律界定尚不清晰，但訴訟已經在試探邊界。

一個諷刺的對比：LinkedIn一邊掃描用戶的瀏覽器插件，一邊在自己的招聘廣告中強調"數據隱私是核心競爭力"。這種分裂不是偽善，是商業模式的必然——平臺需要用戶數據來訓練算法、優化廣告、證明ROI，同時又需要信任來維持增長。

BrowserGate的曝光，撕開了這道裂縫。10億用戶中，有多少人會在下次打開LinkedIn時猶豫一秒？這個數字無法測量，但平臺方一定會盯著看。

Fairlinked e.V.的研究者在報告末尾留下了一個細節：他們最初發現Spectroscopy，是因為某位成員注意到，在特定網絡環境下，LinkedIn頁面加載時會出現異常的并發連接峰值。這個偶然觀察，最終牽出了2.7MB的監控代碼。如果這位研究者當時選擇了刷新頁面而不是打開開發者工具，BrowserGate可能至今無人知曉——那么，此刻還有多少類似的腳本，正在其他網站上靜默運行？