打开网易新闻 查看精彩图片

你的浏览器装了什么插件,LinkedIn可能比你自己还清楚。

BleepingComputer的测试证实,这家职场社交平台正在用一段隐藏JavaScript代码,扫描用户浏览器中安装的6236个扩展程序。更微妙的是,它能精准识别出200多款与其销售工具直接竞争的产品——Apollo、Lusha、ZoomInfo都在监控名单上。

这不是简单的技术好奇。报告声称,LinkedIn结合用户的雇主信息,正在绘制一张庞大的竞品客户地图。「它正在从数千家软件公司的用户浏览器中提取客户名单,而没有任何人知情。」

一场持续三年的"浏览器门"

一场持续三年的"浏览器门"

这场风波被研究者命名为"BrowserGate"。核心指控指向一个精密的商业情报系统:LinkedIn不仅收集数据,还会据此行动。

报告提到,平台已向使用第三方工具的用户发送"执法威胁",而这些目标的识别,正是基于上述隐蔽扫描。换句话说,你的插件使用记录,可能正被用来给你发律师函。

LinkedIn的回应很直接:这是一位"心怀不满的扩展程序开发者"的报复,此人刚刚在德国输掉一场官司。

但技术层面的验证已经展开。BleepingComputer确认,那段JavaScript代码真实存在,且采集范围远超插件清单——CPU核心数、可用内存、屏幕分辨率、时区、语言设置、电池状态、音频信息、存储特性,全部在收集之列。

这像什么?像是进一家咖啡店,店员不仅记住你点了什么,还顺手记下你的手机型号、剩余电量、甚至耳机里在放什么歌。

销售工具的暗战

销售工具的暗战

LinkedIn的销售解决方案(Sales Solutions)是其重要收入来源。2023年微软财报曾提及,LinkedIn会员收入与广告之外,"人才解决方案"和"销售解决方案"构成核心增长引擎。

第三方插件长期是这个生态的"寄生虫"。Apollo、Lusha这类工具帮销售人员在LinkedIn上批量挖掘潜在客户信息,绕过平台的付费墙。平台与插件开发者的战争从未停歇——2023年LinkedIn就起诉过数据抓取公司,索赔金额以亿美元计。

但"BrowserGate"指控的边界更模糊。扫描用户浏览器获取竞品情报,与保护平台安全之间的界限在哪里?

一位安全研究者向BleepingComputer表示,这种级别的浏览器指纹采集,通常用于欺诈检测或设备识别。但当采集清单明确指向竞争对手产品时,动机就变得可疑。

LinkedIn尚未公开回应6236这个数字,也未解释为何需要知道用户是否安装了ZoomInfo的插件。

德国法庭的伏笔

德国法庭的伏笔

LinkedIn口中的"败诉开发者"身份尚未完全公开,但时间线值得玩味。德国对数据保护的严苛程度,在全球数一数二。GDPR(通用数据保护条例)的发源地正是欧盟,而德国联邦数据保护局素以激进执法著称。

如果一位插件开发者在德国起诉LinkedIn,最可能的案由是什么?反不正当竞争?数据保护违规?还是平台滥用市场支配地位?

LinkedIn选择用"败诉者报复"来定性整件事,却回避了技术细节层面的回应。这种公关策略在科技圈并不新鲜——将爆料者污名化,比逐条反驳指控更省力。

但BleepingComputer的独立验证让事情变得尴尬。代码就在那里,任何人都能复现。6236个扩展的检测清单,200多个竞品的精准标注,这些不是"心怀不满"能编出来的数字。

用户能做什么

用户能做什么

浏览器扩展的权限设计,本质是信任博弈。你安装一个密码管理器,等于把数字钥匙交给它;装一个广告拦截器,等于让它审查所有网页流量。但很少有人意识到,网页同样可以反向审查扩展。

LinkedIn使用的技术并不神秘——JavaScript检测浏览器环境是常规操作。检测清单的长度才是问题。6236个扩展的识别库,需要持续维护;200个竞品的分类标注,需要明确的商业意图。

普通用户的防御选项有限。企业版浏览器管理策略可以限制扩展安装,但个人用户很难在"正常使用LinkedIn"和"隐私保护"之间找到平衡点。Tor浏览器或极端的脚本拦截能解决问题,但代价是平台功能残缺。

更现实的困境是:即使你知道这件事,也很难证明损害。LinkedIn没有泄露你的密码,没有盗刷你的信用卡,只是"看了看"你的插件列表。这种伤害的法律定性,在全球都还处于灰色地带。

报告发布后的48小时内,LinkedIn的扫描脚本仍在运行。一位测试者在Reddit发帖称,他用开发者工具拦截了相关请求,发现检测频率约为每次页面加载时触发。这意味着,只要你打开LinkedIn,你的浏览器就在接受"体检"。

那位德国开发者的完整故事尚未浮出水面。但一个细节耐人寻味:他选择用"BrowserGate"这个名字,明显在向2014年的"Celebgate"(好莱坞艳照门)致敬——那起事件的核心,正是未经授权的私密数据访问。这个类比是否恰当,或许取决于你认为插件使用记录算不算"私密"。

LinkedIn的扫描脚本今天还在你的浏览器里运行吗?如果你装过Apollo或Lusha,有没有收到过平台发来的"友好提醒"?