LinkedIn被控“偷看”浏览器插件：一场反爬虫之战，为什么会打到隐私红线上

LinkedIn最近摊上了一件很有这个时代气质的麻烦事：为了抓“爬虫”和数据抓取工具，它被指悄悄扫描用户浏览器里装了哪些扩展程序，结果一口气在美国吃下两起集体诉讼。

表面看，这是一个平台治理与反滥用的老问题；往深里看，它更像是互联网公司与用户之间那句越来越常见的争执——“我这样做是为了安全”，以及用户反问的那句，“可你凭什么看到这里？”

LinkedIn承认在扫，但不承认自己越线

事情的导火索，是一份名叫“BrowserGate”的报告。报告指控 LinkedIn 会通过隐藏的 JavaScript 代码，检查用户浏览器中是否安装了特定扩展，涉及的扩展数量高达 6222 个。报告甚至把矛头抬到了非常戏剧化的高度，称这几乎是“现代史上规模最大的企业间谍行动之一”。这种说法当然带着强烈的宣传色彩，但它确实精准击中了公众最敏感的一点：浏览器扩展，往往比 Cookie 更私密。

因为一个人安装了什么插件，很多时候比他点了什么广告更能暴露自己。你装的是销售工具、自动化插件，可能意味着你的工作性质；你装的是宗教内容过滤器、政治标签插件，甚至某些辅助认知功能工具，外界就可能据此推断你的信仰、政治倾向或健康状况。这也是原告律师和相关报告不断强调的风险：即使平台没有明确“读取内容”，仅仅“识别存在”，本身也可能已经构成敏感信息处理。

LinkedIn并没有否认自己在扫描。它的解释很直接：这么做是为了识别那些会抓取站内用户数据的扩展程序，避免第三方在未经用户同意的情况下批量扒走数据，影响会员隐私和网站稳定性。LinkedIn还说，相关信息在隐私政策里已有披露，表述包括收集用户“浏览器和附加组件（add-ons）”信息。

问题就在这里爆开了。平台说“我写了”，用户和原告说“你写得像没写”。这不是咬文嚼字，而是今天隐私争议里最核心的一块：法律文本中的模糊披露，是否真的等于用户知情同意？如果一家公司把“扫描浏览器扩展”埋进“cookies、设备信息、浏览器附加组件”这种大而化之的表述里，它在法律上也许觉得自己站得住脚，但在普通用户那里，感受往往就是四个字：你没说人话。

两起诉讼背后，是一场更大的“反爬虫战争”

如果只看诉状，你会以为这是一场纯粹的隐私案件；但如果把背景拉长一点，它其实还夹着平台与第三方工具厂商的长期战争。

这次争议里，一个关键角色叫 Teamfluence。这是一家爱沙尼亚软件公司，提供基于 LinkedIn 的自动化销售与数据工具。LinkedIn方面称，Teamfluence分发的浏览器扩展会在未经会员知情和同意的情况下抓取 LinkedIn 用户数据，违反平台协议，因此相关账号被封。随后，Teamfluence一方在德国起诉 LinkedIn，试图恢复账号。LinkedIn高管后来表示，德国法院并未支持 Teamfluence，还认定 Teamfluence 自身存在数据保护问题。

换句话说，这起风波并不只是“平台监视用户”这么简单，它也是“平台监视那些监视平台的工具”。过去几年，几乎所有大型互联网平台都在和自动化插件、增长黑客工具、数据抓取服务缠斗。Meta 有，X 有，亚马逊有，LinkedIn当然更有。因为 LinkedIn 本质上就是一座职业关系数据库金矿，谁能低成本、规模化地把里面的人脉、职位、互动、企业信息挖出来，谁就握住了销售科技和招聘科技的命门。

所以从商业逻辑上说，LinkedIn去识别“哪些扩展在扒我的数据”，一点也不令人意外。真正让人不安的是，它采取的办法是不是过于宽泛。为了抓坏人，把所有进站用户的浏览器都摸一遍口袋，这套思路很像机场安检，但问题在于：网站不是机场，用户也从未明确同意接受这种级别的检查。

浏览器扩展，为什么比Cookie更敏感

很多普通用户看到这类新闻，第一反应可能是：扫描插件有那么严重吗？我又没做什么见不得人的事。

还真不能这么轻描淡写。浏览器扩展是一个很特别的技术入口。它既贴近用户的上网行为，又承载了大量个人习惯和职业信息。一个销售可能装了 CRM 相关插件，一个开发者可能装了调试工具，一个内容从业者可能装了翻译和笔记扩展，一个有阅读障碍或注意力障碍的人可能会装辅助阅读工具。单看每一个扩展名字也许平平无奇，但把它们和 LinkedIn 已经掌握的实名身份、雇主、职位、地理位置拼在一起，画像能力会陡然上升。

这就是为什么相关报告会特别强调，某些被检测的扩展类别可能触及宗教、政治和健康等敏感领域。哪怕 LinkedIn坚称“我们不会利用这些数据推断敏感属性”，争议也不会自动消失。因为在隐私法里，很多时候问题不只在“你用没用”，还在“你有没有收”“你有没有必要收”“你收之前有没有说清楚”。

过去十年，互联网平台最擅长的一种策略，就是把数据采集包装成安全措施。设备指纹识别、验证码、异常流量分析、机器人检测，这些技术本身都有正当用途，而且现实里确实重要。没有这些机制，大型平台很快就会被爬虫、薅羊毛脚本和欺诈流量搞得鸡犬不宁。但技术上“有必要”，不意味着执行上可以无限外扩。今天的监管越来越关注比例原则：为了反作弊，你究竟收了多少本不必收的东西？

法律问题表面在美国，真正的震荡会传到全球

目前两起诉讼都落在美国加州北区联邦地区法院，指控内容包括侵犯隐私、违反加州计算机数据访问相关法律，其中一起还援引了联邦《电子通信隐私法》。这套法律攻防，短期内未必会迅速分出胜负，因为 LinkedIn完全可以继续强调自己扫描扩展是反滥用、反数据抓取的必要手段。

但真正值得关注的，不只是这两份诉状能不能赢，而是它们会不会把整个行业的“灰色惯例”照亮。很多网站和平台其实都在前端跑各种探测脚本：看你是不是自动化访问、看你的浏览环境是否异常、看你是否用了特定插件、代理或脚本工具。只不过多数用户平时根本察觉不到，也没人愿意在隐私政策里写得太直白。因为一旦写直白了，大家就会问：你为什么要知道这些？

而在 2026 这个时间点，这个问题尤其尖锐。全球科技行业一边高喊“AI代理”和“自动化助手”即将重塑工作流，一边又在更激烈地封堵未经授权的自动化抓取。平台希望 AI 为自己提高效率，却不希望别人家的 AI 来自己的地盘搬数据。这种微妙的双标，未来只会越来越明显。

LinkedIn尤其处在风暴眼。它既是微软生态的一部分，又拥有全球最值钱的职场关系图谱之一。围绕职场社交、销售自动化、招聘智能化的数据争夺，未来一定更激烈。浏览器扩展扫描事件，只是这场战争第一次被公众大规模看见的一角。

这件事真正刺耳的地方：用户越来越难分清“保护”与“窥视”

我觉得这件事里最不舒服的一点，不是某家公司是不是用了某段脚本，而是互联网正在形成一种新的默认前提：只要能挂上“安全”二字，平台就倾向于把更多设备层、环境层信息纳入自己的观察范围。

这会带来一个非常现实的问题：用户还能保有多少“设备主权”？浏览器本来是用户通往互联网的门，而不是网站伸手进来的窗。今天平台扫描扩展，明天是否会进一步探测本地环境、脚本管理器、隐私工具、甚至某些辅助软件？边界一旦被推开，往往很难再自动退回去。

当然，也不能把 LinkedIn简单描绘成一个无缘无故窥私的反派。大平台面对的数据抓取、账号滥用、机器流量攻击都是真问题，而且 LinkedIn这类实名职场网络，数据被大规模盗采后的伤害确实不小。问题是，平台不能因为自己有正当目标，就默认可以采用一切技术手段。隐私治理最难的地方恰恰在这里：坏人确实存在，但你不能为了抓坏人，把所有好人先搜一遍身。

这也是我更关心的后续：法院是否会要求更高标准的披露？监管是否会逼迫平台把“浏览器环境探测”写得更具体、更易懂？以及，用户有没有机会真正选择退出，而不是只能接受一份没人认真读得完的隐私政策。

如果这次官司推动行业建立一条更清晰的线，那它的意义会远大于 LinkedIn一家公司的公关危机。因为今天是 LinkedIn，明天可能就是任何一个你每天都要登录的网站。