你登录LinkedIn更新简历时,后台有段代码正在清点你浏览器里装了多少东西。不是3个,不是30个,是6236个。
Fairlinked e.V.发布的"BrowserGate"报告披露,微软旗下的LinkedIn正在用隐藏的JavaScript脚本,对访客浏览器进行大规模扫描。这段代码会检测你安装了哪些浏览器扩展,同时收集设备指纹数据,并将结果与可识别的用户档案关联。
报告作者指出,这种行为被用于收集敏感的个人和企业信息。毕竟LinkedIn账户绑定真实身份、雇主和职位,数据价值远高于普通网站。
「LinkedIn扫描了超过200款与其销售工具直接竞争的产品,包括Apollo、Lusha和ZoomInfo。由于LinkedIn掌握每个用户的雇主信息,它能绘制出哪些公司使用哪些竞品。它正在用户毫不知情的情况下,从浏览器中提取数千家软件公司的客户名单。」
报告还提到更具体的动作:「LinkedIn已经向第三方工具用户发送过执法威胁,利用通过秘密扫描获得的数据来锁定目标。」
BleepingComputer通过独立测试验证了部分说法。测试中发现LinkedIn加载了一个文件名随机化的JavaScript文件,该脚本通过尝试访问特定扩展ID关联的文件资源,检测6236个浏览器扩展是否安装——这是识别扩展的已知技术手段。
这种指纹脚本并非首次曝光。2025年初已有报道,当时仅检测约2000个扩展;两个月前的GitHub仓库显示检测数量为3000个。从2000到3000再到6236,扫描范围在持续扩张。
扫描清单的构成也耐人寻味。除了与LinkedIn业务相关的扩展,脚本还检测语言语法工具、税务专业人员软件等看似无关的产品。同时收集的数据维度包括CPU核心数、可用内存、屏幕分辨率、时区、语言设置、电池状态、音频信息和存储特性。
BleepingComputer未能核实报告中关于数据用途或是否共享给第三方的说法。但类似的指纹技术过去曾被用于构建唯一浏览器档案,实现跨网站追踪用户。
LinkedIn不否认检测特定浏览器扩展,对BleepingComputer表示这是为了保护平台及其用户安全。但公司同时声称报告作者因抓取LinkedIn内容、违反使用条款而被封禁账户。
企业用户的双重困境
这件事的讽刺之处在于目标用户群体。LinkedIn的核心付费客户是B2B销售团队和企业招聘方,而这些正是最依赖浏览器扩展工具提升效率的人群。
销售代表常用Apollo、Lusha等工具获取潜在客户联系方式,HR团队依赖各类插件管理招聘流程。LinkedIn一边向他们收取高额订阅费,一边扫描识别其使用的竞品工具。
更微妙的是信息不对等。普通用户看到隐私政策里"收集设备信息"的条款,很难想到这意味着逐项清点浏览器扩展。企业IT部门部署的安全工具、员工个人安装的生产力插件,都在扫描范围内。
报告作者的身份争议也值得玩味。LinkedIn将其定性为"因违规被封禁的用户",这种回应策略在平台与用户冲突中颇为常见——质疑爆料者动机,而非直接回应技术细节。
浏览器扩展的"裸奔"现实
扩展检测技术本身并不复杂。每个浏览器扩展都有固定ID,网页JavaScript可以尝试请求扩展特有的资源文件,根据响应判断是否存在。这就像敲门看是否有人应——技术门槛不高,但规模化执行需要投入。
LinkedIn的扫描清单从2000膨胀到6236,说明有人在持续维护这份"情报库"。哪些扩展被加入、按什么优先级排序、检测频率如何调整,这些决策背后有明确的产品逻辑。
被扫描的扩展类型分布也透露意图。销售工具占大头符合商业竞争逻辑,但语言语法、税务软件等"无关"类别的存在,暗示扫描可能还有反欺诈、风控或更广泛的画像用途。
设备指纹数据的收集同样如此。CPU核心数和内存反映设备性能层级,时区和语言辅助定位用户,电池状态甚至能判断设备是否在充电使用——这些碎片拼起来,比单一Cookie更难清除。
平台权力的边界争议
LinkedIn的辩护逻辑是"保护平台安全",这在行业内并非孤例。各大平台都在用类似技术识别自动化工具、恶意扩展或数据抓取行为。争议点在于尺度:安全检测与商业情报的边界在哪里?
报告中最具杀伤力的指控是"提取竞争对手客户名单"。如果属实,这意味着LinkedIn将用户设备变成了市场情报采集终端,而用户既不知情也未同意这种特定用途。
欧洲监管环境对此类行为尤为敏感。Fairlinked e.V.作为德国注册协会选择公开披露,而非直接走监管投诉渠道,可能也反映了举证难度——证明"扫描"与"利用数据打击竞品"之间的因果链需要内部信息。
LinkedIn的回应策略留下悬念。承认技术存在但质疑爆料者动机,这种部分否认的姿态,与完全否认或详细解释技术必要性相比,哪个更接近真相?
你浏览器里现在装着多少个扩展?其中有多少个,正在被某个你登录过的网站逐项清点?
热门跟贴