Chrome浏览器插件暗藏隐私危机 超六成扩展窃取用户核心数据

土耳鸡烤鸡

TOP2 1月29日消息：网络安全机构Incogni最新公布研究报告揭示，Chrome应用商店中67%的第三方扩展存在数据收集行为，其中41%的插件直接获取包括信用卡号、账户密码、实时定位等敏感个人身份信息。研究团队对拥有千名以上使用者的238款扩展进行权限分析与数据采集声明核查，构建出人工智能类插件的隐私风险评级体系。

数据显示，近100款扩展具备获取密码、财务信息、浏览历史等核心隐私的敏感权限。18%的插件收集身份验证信息，音频转录与编程辅助类工具成为重灾区。值得注意的是，7%的扩展涉及金融支付数据窃取，其中文本/视频摘要工具占比15%，音频转录工具达14%。

在用户基数庞大的头部产品中，DeepL人工智能翻译写作助手位列隐私侵犯榜首，AI语法检查改写工具与智能助手Sider紧随其后。研究特别指出，22%扩展采集的"用户活动"数据看似普通，实则涵盖键盘输入轨迹、密码特征、时间戳记录等足以重构用户数字画像的核心信息。

"AI技术催生出前所未有的应用场景，但代价可能是用户在网络空间的透明化。"Incogni负责人Darius Belejevas警示道，"当你在浏览器加载某个智能插件时，它可能正在记录每次击键行为，甚至向访问网站注入代码。"该机构同步发布了主流扩展隐私评级信息图，显示包括Grammarly写作助手、Vetted购物插件等日常工具均存在较高数据泄露风险。

报告强调，多数用户因信任谷歌生态体系，默认通过官方商店审核的扩展具备同等安全性。实则第三方开发者可通过"必要功能"名义申请敏感权限，在隐私政策中使用模糊表述获取关键数据。网络安全专家建议用户定期审查插件权限，对索取浏览器全盘访问、数据读写等越权行为保持警惕。