領(lǐng)英被曝偷掃6000多個瀏覽器插件，你的求職意向它全知道

你知道每次打開領(lǐng)英（LinkedIn）的那幾秒鐘里，網(wǎng)頁后臺正在發(fā)生什么嗎？

作為微軟旗下全球最大的職業(yè)社交平臺，領(lǐng)英目前擁有超過 10 億注冊用戶，每一秒都有數(shù)十萬份個人履歷被更新、被瀏覽、被獵頭反復(fù)檢索。自微軟 2016 年將其收購后，十年后的今天，領(lǐng)英已成為這家科技巨頭最賺錢的資產(chǎn)之一，僅 Sales Navigator 這一款銷售工具，年收入就超過 10 億美元。

（來源：LinkedIn）

但伴隨商業(yè)成功的，還有持續(xù)不斷的隱私爭議：2021 年，5 億用戶數(shù)據(jù)在暗網(wǎng)被兜售；2022 年，安全研究人員發(fā)現(xiàn)其移動端應(yīng)用在后臺持續(xù)讀取 iOS 剪貼板……最近，一場新的風(fēng)波再次將領(lǐng)英推向輿論中心。

2026 年 3 月底，德國非營利組織 Fairlinked 發(fā)布了一份代號為“BrowserGate”的技術(shù)調(diào)查報告，核心指控非常直接：每當(dāng)你訪問領(lǐng)英官網(wǎng)，隱藏在網(wǎng)頁中的 JavaScript 代碼就會靜默掃描你的瀏覽器，檢測你安裝了哪些擴(kuò)展程序，然后將結(jié)果加密傳回領(lǐng)英服務(wù)器及一家第三方網(wǎng)絡(luò)安全公司。

這份報告迅速在技術(shù)社區(qū)引發(fā)熱議，Hacker News 上的討論帖幾小時內(nèi)涌入上千條評論，多家科技媒體跟進(jìn)報道。原因很簡單：這并非領(lǐng)英首次被指控“偷窺”用戶瀏覽器，而且這次它還變本加厲了。

早在 2024 年初，就有技術(shù)博客注意到領(lǐng)英網(wǎng)頁端存在擴(kuò)展檢測機(jī)制。

但當(dāng)時的發(fā)現(xiàn)相對有限：領(lǐng)英似乎在掃描約 461 款瀏覽器擴(kuò)展，主要集中在自動化工具、數(shù)據(jù)抓取插件，以及與其產(chǎn)品存在競爭關(guān)系的第三方銷售軟件。彼時的主流解讀是，這不過是常規(guī)的反爬蟲手段，畢竟領(lǐng)英長期面臨數(shù)據(jù)抓取問題，檢測已知爬蟲工具似乎情有可原。

但 Fairlinked 這次的發(fā)現(xiàn)讓事情性質(zhì)發(fā)生了變化。調(diào)查人員從領(lǐng)英的 JavaScript 打包文件中提取出了完整的掃描清單，檢測目標(biāo)已從 2024 年的 461 個擴(kuò)展 ID 激增至 6,167 個。獨立研究者使用開源工具交叉驗證后，確認(rèn)“活躍掃描”的擴(kuò)展數(shù)量也達(dá)到 2,953 個。無論采用哪個數(shù)字，這都已遠(yuǎn)超“針對已知爬蟲工具的有限檢測”，更接近一場大規(guī)模的瀏覽器指紋采集行動。

（來源：BrowserGate）

那么清單中有哪些插件是領(lǐng)英的“偷窺”對象？平臺收集這些信息的主要目的是什么？

首先包含 509 款求職工具，覆蓋約 140 萬用戶。領(lǐng)英不是匿名平臺，每個用戶都綁定著真實姓名、工作單位、職位頭銜、同事關(guān)系網(wǎng)，甚至現(xiàn)任上司的聯(lián)系方式。當(dāng)一名員工悄悄安裝“JobSearch Helper”這類求職輔助插件，領(lǐng)英后臺就能立刻將這條信息與他的實名檔案關(guān)聯(lián)。如果你的老板也使用領(lǐng)英，可以說你“騎驢找馬”的行為平臺官方一直在悄悄旁觀。

緊接著是 200 多款銷售與招聘類競品擴(kuò)展，包括 Apollo、Lusha、ZoomInfo 等領(lǐng)英 Sales Navigator 的直接競爭對手。這些工具通常以瀏覽器擴(kuò)展形式存在，用戶裝上后可在瀏覽領(lǐng)英頁面時一鍵提取聯(lián)系方式。領(lǐng)英掃描這些擴(kuò)展意味著它能精確識別哪些付費客戶同時在使用競品，結(jié)合用戶的雇主信息，這套系統(tǒng)實際上在繪制一幅“企業(yè)軟件使用地圖”：如果一家公司有三位員工安裝了 Apollo，領(lǐng)英就能推斷這家公司可能是 Apollo 的客戶。

在某種程度上，這相當(dāng)于在未經(jīng)任何組織知情或同意的情況下，提取了數(shù)千家 SaaS 公司的客戶名單。

圖 | 目前市場主流銷售與招聘類擴(kuò)展（來源：Sera AI）

更讓一些用戶感到憤怒的是，清單中還包含用于過濾特定宗教內(nèi)容的擴(kuò)展、標(biāo)記用戶政治傾向的工具，以及為神經(jīng)多樣性人群（例如自閉癥、多動癥、以及讀寫障礙人群）設(shè)計的無障礙輔助插件。這類信息一旦與實名檔案關(guān)聯(lián)，可能涉及用戶不愿公開的個人特征，而領(lǐng)英的隱私政策中，完全沒有出現(xiàn)任何的說明。

對此，F(xiàn)airlinked 組織已向歐盟委員會提交正式投訴，并注冊為利益相關(guān)方參與監(jiān)管對話。他們聲稱正在與其他開發(fā)者團(tuán)體合作，共同定義歐盟《數(shù)字市場法》要求微軟提供的第三方 API 技術(shù)規(guī)范。

互聯(lián)網(wǎng)上，圍繞此事的討論遠(yuǎn)未平息，網(wǎng)友大致形成兩種觀點。一方認(rèn)為瀏覽器指紋采集是行業(yè)常見做法，許多網(wǎng)站都用類似技術(shù)檢測機(jī)器人，領(lǐng)英掃描擴(kuò)展的主要目的很可能是反爬蟲和反濫用，而非“大規(guī)模監(jiān)控”，從技術(shù)角度看，其使用的 fetch 探測擴(kuò)展資源是一種公開已久的方法，并不神秘。

另一方則反駁說，問題的關(guān)鍵不在于“掃描擴(kuò)展”這個行為本身是否常見，而在于范圍、用途和披露。掃描幾十款已知爬蟲工具是一回事，掃描 6,000 多款涵蓋宗教、政治、求職、無障礙輔助的各類擴(kuò)展是另一回事。如果這真的只是反爬蟲措施，為什么隱私政策一字不提？為什么掃描結(jié)果要加密傳輸?shù)降谌焦荆繛槭裁辞鍐芜€在以每天新增十余款的速度擴(kuò)張？

無論評價如何，對普通用戶而言，可以確定的是完全規(guī)避此類收集難度較大，但可嘗試一些措施降低風(fēng)險，比如使用默認(rèn)屏蔽指紋追蹤的瀏覽器、定期清理瀏覽器 cookie 和本地存儲、訪問領(lǐng)英時啟用隱私或無痕模式，以及謹(jǐn)慎安裝來源不明的瀏覽器擴(kuò)展并定期審查已安裝插件。

1.https://news.ycombinator.com/item?id=46904361

2.https://github.com/mdp/linkedin-extension-fingerprinting

排版：胡巍巍