LinkedIn扫描6236个浏览器插件，用户数据被扒了个底朝天

6236个。这是LinkedIn正在悄悄扫描的Chrome插件数量。

德国非营利组织Fairlinked e.V.本周发布了一份名为"BrowserGate"的报告，揭露微软旗下的职场社交平台正在用一种近乎偏执的方式，检查每个访客的浏览器里装了什么。不是几百个，是六千多个。从竞品销售工具到语法检查插件，从税务软件到语言学习扩展，几乎无所不包。

更麻烦的是，LinkedIn账户绑定了真实身份、雇主和职位。这意味着平台不仅能知道你装了什么，还能知道哪个公司的员工在用什么竞品。

Fairlinked在报告中写道：「LinkedIn扫描了超过200个与其自有销售工具直接竞争的产品，包括Apollo、Lusha和ZoomInfo。因为它知道每个用户的雇主，所以可以绘制出哪些公司使用哪些竞品。它在未经任何人知情的情况下，从用户的浏览器中提取了数千家软件公司的客户名单。」

报告还提到，LinkedIn已经利用这些隐蔽扫描获取的数据，向第三方工具用户发送过执法威胁。

BleepingComputer独立验证了部分说法。测试中，他们观察到LinkedIn加载了一个文件名随机生成的JavaScript文件，该文件通过尝试访问特定扩展ID关联的文件资源来检测插件是否安装——这是业内已知的指纹采集技术。

这个扫描脚本并非新鲜事。2025年初就有报道指出其存在，当时检测数量约2000个。两个月前的GitHub仓库显示为3000个。如今跃升至6236个，增速肉眼可见。

诡异的是，扫描范围远不止与LinkedIn相关的工具。语言学习插件、语法纠正工具、税务专业人士用的软件，甚至一些看似毫无关联的扩展都在名单上。脚本同时收集大量设备和浏览器数据：CPU核心数、可用内存、屏幕分辨率、时区、语言设置、电池状态、音频信息、存储特性。

LinkedIn没有否认检测浏览器插件的行为。他们对BleepingComputer表示，这些信息用于保护平台及其用户。但公司将报告作者描述为一名因抓取LinkedIn内容并违反使用条款而被封禁账户的人。

争议的核心在于边界。平台安全防护与用户隐私之间的红线，LinkedIn画在了哪里？

从2000到6236：扫描清单的膨胀史

指纹采集技术本身并不新鲜。网站通过收集设备和浏览器特征构建唯一标识，即使清除Cookie也能追踪用户，这在数字广告和反欺诈领域早已普及。

但LinkedIn的做法有几个特殊之处。

第一，规模。6236个插件的检测量远超一般网站的安全需求。普通平台通常只检测已知恶意扩展或特定风险工具，而LinkedIn的清单覆盖了生产力工具、学习辅助、行业专用软件等广泛类别。

第二，关联性。LinkedIn拥有职场社交的独特数据维度——你的公司、职位、行业。将浏览器插件数据与这些身份标签交叉，能推导出竞品渗透图谱、企业软件采购偏好、甚至团队工作流程。

第三，隐蔽性。脚本文件名随机生成，普通用户几乎不可能察觉。没有明确告知，没有 opt-out 选项。

Fairlinked的报告作者身份被LinkedIn质疑，称其有"前科"。但这并不自动否定技术事实的存在。BleepingComputer的独立验证至少确认了扫描行为的真实性，至于数据用途和是否共享给第三方，目前尚无确凿证据。

竞品监控还是安全刚需？

LinkedIn的Sales Navigator等销售工具与Apollo、ZoomInfo等插件存在直接竞争关系。报告指控的核心是：平台利用浏览器扫描获取竞品客户情报。

这种指控若属实，将触及更深层的问题——拥有平台入口优势的玩家，能否以"安全"之名行商业情报之实？

浏览器插件确实可能带来风险。恶意扩展可以窃取Cookie、注入广告、劫持流量。平台有动力也有权利保护自身生态。但当检测范围远超安全合理边界，当数据收集与商业竞争利益高度重合，辩解的说服力就会打折。

一个值得玩味的细节：扫描清单中包含了大量与LinkedIn业务毫无交集的工具。税务软件、语言学习插件、语法检查器——这些对平台安全构成什么威胁？

LinkedIn的回应回避了具体的技术问题，转而攻击报告来源的 credibility。这种策略在危机公关中常见，但无助于澄清事实。

用户能做什么？

技术上，检测浏览器扩展的方法有多种。通过尝试访问扩展特有的资源文件（如图标、manifest文件）是最常见手段之一。这些请求会触发特定错误响应，从而暴露扩展是否存在。

普通用户几乎无法阻止这种扫描。使用隐私增强浏览器、禁用JavaScript、或通过扩展管理工具限制网站权限，都可能影响正常使用体验。

监管层面，欧盟《数字市场法》和《数据法案》对平台数据收集行为有 increasingly strict 的约束，但执行力度和适用范围仍在磨合。美国缺乏联邦层面的全面隐私立法，各州法律碎片化。

对于企业用户，风险更复杂。员工在LinkedIn上的活动可能无意中泄露公司软件栈信息——用了什么CRM、什么数据分析工具、什么协作平台。这些信息在竞争情报视角下具有价值。

LinkedIn的扫描脚本还在继续更新。从2000到3000再到6236，这个数字不会停在原地。下一个版本会检测多少个？你的浏览器里，有多少个插件已经被它标记？