LinkedIn 掃描 6,278 個瀏覽器擴充功能並將結果加密存入每一項請求中

背景

LinkedIn 被揭露長期掃描使用者的瀏覽器擴充功能，目前追蹤名單已擴大至超過六千個項目。這項行為不僅針對匿名訪客進行指紋追蹤，更將掃描結果與使用者的真實職業身份掛鉤，並將加密後的遙測數據夾帶在每一次的 API 請求中。

社群觀點

針對 LinkedIn 的掃描行為，Hacker News 社群展開了激烈的技術與倫理討論。許多開發者與資深用戶對此感到憤怒，認為這種行為已遠超一般的遙測範疇，演變成一種無孔不入的監控。有觀點指出，LinkedIn 透過掃描擴充功能，可以輕易推斷出使用者的宗教信仰、政治傾向、身心障礙狀況，甚至是潛在的轉職意圖。更嚴重的是，由於 LinkedIn 掌握了使用者的任職公司資訊，這種掃描行為等同於在未經授權的情況下，窺探企業內部的軟體生態與安全工具配置。

在技術防禦層面，社群成員討論了不同瀏覽器的隱私表現。部分用戶建議轉向 Firefox，因為 Firefox 會為每個實例生成隨機的擴充功能 ID，能有效阻止網站透過靜態 ID 進行偵測；相較之下，Chrome 至今仍使用固定 ID，這讓 LinkedIn 的掃描行為變得輕而易舉。也有 Safari 用戶分享，雖然 Safari 在處理第三方 Cookie 上較為嚴格，但也可能因此導致 SSO 登入頻繁失效，且目前尚不確定 Safari 是否存在類似的訊號洩漏風險。

然而，討論中也出現了不同的聲音。有評論質疑這項指控的動機，指出這類掃描最初可能是為了打擊特定擴充功能產生的點擊欺詐或自動化抓取行為。部分觀點認為，瀏覽器擴充功能本身就是一個強大的惡意軟體媒介，許多獨立開發者會將作品賣給廣告商，進而導致擴充功能被「劣化」為追蹤工具，因此平台方的防禦行為有其脈絡。

最後，這場討論延伸到了從業人員的職業道德。社群成員反思，當工程師被要求實作這類具爭議性的監控功能時，應該選擇堅持立場甚至離職，還是為了保住飯碗而妥協。有人直言，選擇雇主時就應避開具有監控基因的企業，以維持心理健康與職業操守。

延伸閱讀

在討論串中，有成員分享了相關的技術背景與討論紀錄。包括追蹤此類行為的網站 browsergate.eu，以及在 Hacker News 上曾引發超過八百則評論的先前討論串（ID: 47613981）。此外，也有人提到 Safari 隱私擴充功能 Wipr 的開發者對此現象的技術觀察。