登录
已读文章 名词 现象 观点 问题 政要

领英被曝偷扫6000多个浏览器插件,你的求职意向它全知道


速读:款浏览器扩展,主要集中在自动化工具、数据抓取插件,以及与其产品存在竞争关系的第三方销售软件。 扩展扫描(来源:BrowserGate)。 当一名员工悄悄安装“JobSearchHelper”这类求职辅助插件,领英后台就能立刻将这条信息与他的实名档案关联。 无论采用哪个数字,这都已远超“针对已知爬虫工具的有限检测”,更接近一场大规模的浏览器指纹采集行动。
2026年04月04日 11:04

DeepTech深科技

来源:DeepTech深科技

你知道每次打开领英( LinkedIn )的那几秒钟里,网页后台正在发生什么吗?

作为微软旗下全球最大的职业社交平台,领英目前拥有超过  10  亿注册用户,每一秒都有数十万份个人履历被更新、被浏览、被猎头反复检索。自微软  2016  年 将其收购后,十年后的今天,领英已成为这家科技巨头最赚钱的资产之一,仅  Sales Navigator  这一款销售工具,年收入就超过  10  亿美元。

(来源: LinkedIn )

但伴随商业成功的,还有持续不断的隐私争议: 2021  年, 5  亿用户数据在暗网被兜售; 2022  年,安全研究人员发现其移动端应用在后台持续读取  iOS  剪贴板……最近,一场新的风波再次将领英推向舆论中心。

2026  年  3  月底,德国非营利组织  Fairlinked  发布了一份代号为 “ BrowserGate ” 的技术调查报告,核心指控非常直接: 每当你访问领英官网,隐藏在网页中的  JavaScript  代码就会静默扫描你的浏览器,检测你安装了哪些扩展程序,然后将结果加密传回领英服务器及一家第三方网络安全公司。

这份报告迅速在技术社区引发热议, Hacker News  上的讨论帖几小时内涌入上千条评论,多家科技媒体跟进报道。 原因很简单:这并非领英首次被指控“ 偷窥 ” 用户浏览器,而且这次它还变本加厉了。

早在  2024  年初,就有技术博客注意到领英网页端存在扩展检测机制。

但当时的发现相对有限:领英似乎在扫描约  461  款浏览器扩展,主要集中在自动化工具、数据抓取插件,以及与其产品存在竞争关系的第三方销售软件。彼时的主流解读是,这不过是常规的反爬虫手段,毕竟领英长期面临数据抓取问题,检测已知爬虫工具似乎情有可原。

但  Fairlinked  这次的发现让事情性质发生了变化。调查人员从领英的  JavaScript  打包文件中提取出了完整的扫描清单, 检测目标已从  2024  年的  461  个扩展  ID  激增至  6,167  个。 独立研究者使用开源工具交叉验证后,确认“ 活跃扫描 ” 的扩展数量也达到  2,953  个。无论采用哪个数字,这都已远超“ 针对已知爬虫工具的有限检测 ” ,更接近一场大规模的浏览器指纹采集行动。

图  | Chrome  开发者工具中捕捉到  LinkedIn  扩展扫描(来源: BrowserGate )

那么清单中有哪些插件是领英的 “ 偷窥 ” 对象?平台收集这些信息的主要目的是什么?

首先包含  509  款求职工具,覆盖约  140  万用户。领英不是匿名平台,每个用户都绑定着真实姓名、工作单位、职位头衔、同事关系网,甚至现任上司的联系方式。当一名员工悄悄安装 “ JobSearch Helper ” 这类求职辅助插件,领英后台就能立刻将这条信息与他的实名档案关联。 如果你的老板也使用领英,可以说你 “ 骑驴找马 ” 的行为平台官方一直在悄悄旁观。

紧接着是  200  多款销售与招聘类竞品扩展,包括  Apollo 、 Lusha 、 ZoomInfo  等领英  Sales Navigator  的直接竞争对手。这些工具通常以浏览器扩展形式存在,用户装上后可在浏览领英页面时一键提取联系方式。领英扫描这些扩展意味着它能精确识别哪些付费客户同时在使用竞品,结合用户的雇主信息,这套系统实际上在绘制一幅 “ 企业软件使用地图 ” :如果一家公司有三位员工安装了  Apollo ,领英就能推断这家公司可能是  Apollo  的客户。

在某种程度上,这相当于在未经任何组织知情或同意的情况下,提取了数千家  SaaS  公司的客户名单。

图  |  目前市场主流销售与招聘类扩展(来源: Sera AI )

更让一些用户感到愤怒的是,清单中还包含用于过滤特定宗教内容的扩展、标记用户政治倾向的工具,以及为神经多样性人群(例如自闭症、多动症、以及读写障碍人群)设计的无障碍辅助插件。这类信息一旦与实名档案关联,可能涉及用户不愿公开的个人特征,而领英的隐私政策中,完全没有出现任何的说明。

对此, Fairlinked  组织已向欧盟委员会提交正式投诉,并注册为利益相关方参与监管对话。他们声称正在与其他开发者团体合作,共同定义欧盟《数字市场法》要求微软提供的第三方  API  技术规范。

互联网上,围绕此事的讨论远未平息,网友大致形成两种观点。一方认为浏览器指纹采集是行业常见做法,许多网站都用类似技术检测机器人,领英扫描扩展的主要目的很可能是反爬虫和反滥用,而非 “ 大规模监控 ” ,从技术角度看,其使用的  fetch  探测扩展资源是一种公开已久的方法,并不神秘。

另一方则反驳说,问题的关键不在于 “ 扫描扩展 ” 这个行为本身是否常见,而在于范围、用途和披露。扫描几十款已知爬虫工具是一回事,扫描  6,000  多款涵盖宗教、政治、求职、无障碍辅助的各类扩展是另一回事。如果这真的只是反爬虫措施,为什么隐私政策一字不提?为什么扫描结果要加密传输到第三方公司?为什么清单还在以每天新增十余款的速度扩张?

无论评价如何,对普通用户而言,可以确定的是完全规避此类收集难度较大,但可尝试一些措施降低风险, 比如使用默认屏蔽指纹追踪的浏览器、定期清理浏览器  cookie  和本地存储、访问领英时启用隐私或无痕模式,以及谨慎安装来源不明的浏览器扩展并定期审查已安装插件。

参考链接:

1.https://news.ycombinator.com/item?id=46904361

2.https://github.com/mdp/linkedin-extension-fingerprinting

排版:胡巍巍

主题:领英|用户