当你打开 LinkedIn，它可能也在“翻你的电脑”：一场指向微软的隐秘扫描争议

安全 2026年4月2日

一个名为 BrowserGate 的调查项目近日指控 LinkedIn 会在用户访问网页时秘密扫描浏览器已安装的软件和扩展，并将结果传回服务器，甚至流向第三方安全公司。若指控属实，这不只是一次隐私越界，而是把“平台权力”推进到了职业社交网络最敏感的地带：谁在找工作、谁用了竞争对手工具、哪家公司在用什么软件，都可能成为可被读取的商业情报。

LinkedIn 不只是看你的简历，可能还在看你的浏览器

职业社交平台的边界，过去这些年一直在膨胀。你以为 LinkedIn 只是记录你的姓名、职位、履历和人脉关系，它当然已经足够了解你了；但最新一项名为 BrowserGate 的调查，把事情往更吓人的方向推了一步：它指控 LinkedIn 在用户访问网页时，悄悄检查浏览器里安装了哪些扩展和软件工具，并把结果上传到自己的服务器，部分数据甚至会流向第三方公司。

这件事最刺眼的地方，不在于“网站会收集数据”——今天谁还不知道互联网平台在收集数据？真正让人背后一凉的是，LinkedIn 不是匿名论坛，也不是随手刷一下就走的娱乐网站。它绑定的是现实身份：你的真实姓名、雇主、头衔、行业、地域，甚至公开职业轨迹。也就是说，如果这项指控成立，平台看到的不是“某个浏览器装了某个插件”，而是“某家公司的某位销售、猎头、工程师或管理者，装了什么工具、可能在干什么”。这就从普通追踪，升级成了职业身份与设备环境的交叉画像。

BrowserGate 背后的组织 Fairlinked e.V. 说得很重，直接把它称为现代企业间谍行为之一。这个表述当然带着强烈立场，但它抓住了问题的核心：当一个拥有海量实名职业数据的平台，开始探测用户设备上的软件生态时，它获得的就不只是广告画像，而是企业采购线索、竞争工具使用情况，乃至员工行为意图。这类信息在商业世界里，往往比一份简历值钱得多。

最敏感的不是“你是谁”，而是“你可能正在做什么”

调查中最令人不安的一点，是 LinkedIn 被指会扫描与求职、宗教、政治倾向、神经多样性辅助相关的扩展。换句话说，它不只是知道你是谁，更可能试图判断你“最近在盘算什么”。

举个很现实的场景：一个在大公司任职的员工，平时照常更新项目、参加会议、在 LinkedIn 上维持体面形象，但浏览器里装了几个求职辅助插件。对外看，他一切正常；可如果平台能把这些扩展识别出来，那么“悄悄找下家”这件原本只存在于个人设备里的行为信号，就有可能被平台掌握。对于普通用户来说，这几乎触碰到了职业安全感的底线。人们愿意在平台上展示职业履历，不代表愿意交出自己的求职冲动。

更麻烦的是，欧洲法律对这类数据尤其敏感。调查方提到，某些信息在欧盟框架下不只是“需要规范处理”，而是原则上属于禁止处理的特殊类别数据，除非有非常明确的法律基础和用户同意。这里的关键，不是技术上能不能做到，而是平台有没有资格这样做、有没有充分告知、有没有得到明确授权。从目前公开指控来看，对方认为 LinkedIn 的隐私政策并未充分披露相关行为。如果这一点最终被监管机构证实，后果就不会只是公关危机，而可能上升为实打实的合规与诉讼问题。

互联网历史上，平台总喜欢把数据收集包装成“安全”“反作弊”“提升体验”。这些理由有时确实成立，但也很容易成为万能挡箭牌。问题在于，安全与越界之间，从来隔着一条很窄、但必须被清楚标出来的线。今天你说是在识别风险插件，明天是不是也可以顺手识别竞争对手产品、招聘工具、销售助手？一旦平台既是裁判，又是运动员，这条线就特别容易被踩烂。

从隐私问题，变成商业情报问题

BrowserGate 的另一项指控更具爆炸性：LinkedIn 被称扫描了 200 多种与其销售产品直接竞争的工具，包括 Apollo、Lusha、ZoomInfo 等。对不熟悉 SaaS 行业的人来说，这些名字可能有点陌生，但在销售、增长和招聘工具市场，它们都是真刀真枪和 LinkedIn 争客户的角色。

这也是为什么这起事件不能只按“隐私泄露”来理解。它还涉及平台是否在利用自身入口优势，反向侦测竞争对手的客户分布。想象一下，一个超级平台知道某位用户是谁、在哪家公司上班，同时还能看见他浏览器里装了哪家销售工具。把这些点连起来，平台几乎就能描出一张企业软件采购地图：哪家公司在用 Apollo，哪家公司依赖 Lusha，哪些团队在用第三方自动化工具。对于 SaaS 厂商来说，这种信息就是客户名单，就是市场份额，就是竞争命门。

调查方还声称，LinkedIn 曾利用这类扫描信息去识别并威胁第三方工具用户。如果这是真的，事情就更微妙了。因为在欧盟《数字市场法案》（DMA）的语境下，像 LinkedIn 这样的“看门人平台”本来就被要求降低封闭性、给第三方工具留下合理接口。结果现在的指控却是：一边对外展示有限 API 合规姿态，一边在内部通过更强大的系统盯着那些真正使用第三方工具的人。这个讽刺意味非常浓——监管希望平台开门，平台却可能在门口装了更灵敏的探测器。

为什么是现在？因为大平台与监管的拉锯，已经进入“设备层”了

把时间放回最近几年看，你会发现这不是孤立事件。无论是苹果的 App Tracking Transparency，还是谷歌对第三方 Cookie 的调整，抑或 Meta 围绕广告定向的合规拉扯，互联网平台的核心战场，早就从“网页上显示什么”转向“谁能看见用户更深一层的数据”。浏览器扩展、设备指纹、跨站追踪、API 开放程度，这些过去只有开发者和合规律师关心的词，正在变成平台权力的新边界。

LinkedIn 的特殊之处在于，它手里握着的是职业世界最敏感的一套实名数据。Facebook 更懂你的社交，TikTok 更懂你的兴趣，Google 更懂你的搜索，但 LinkedIn 更懂你的职业身份和组织关系。这意味着，一旦它把设备层面的信息也并入画像，就不是“广告更精准”这么简单，而是可能构成对劳动力流动、企业采购、B2B 竞争的深度观察。

这也是我认为这件事真正重要的原因：它让我们看到，大平台已经不满足于你在平台上说了什么、点了什么、关注了谁，它们还想知道你在平台之外借助什么工具行动。一个平台如果既掌握实名身份，又能窥见你用什么外挂、是否准备跳槽、是否依赖竞争服务，它就不再只是中介，而像一座拥有透视能力的职业基础设施。

当然，眼下仍需保持一份新闻上的克制。BrowserGate 是调查项目和倡议网站，不是法院判决，也不是监管机构结论。它的技术指控是否完整准确，LinkedIn 是否会以反欺诈、反自动化滥用、账户安全为理由进行回应，这些都还有待更正式的核验。科技报道最怕的就是把控诉直接写成定论。但同样不能因为尚无裁决，就低估这件事。平台隐私丑闻的历史已经反复证明，很多最初听起来像“阴谋论”的追踪手段，最后都被坐实成“行业惯例”。

这不只是 LinkedIn 的问题，而是整个互联网的老毛病

如果你觉得这剧情似曾相识，那是因为互联网公司在“先收再说、事后解释”这件事上，早有传统。从 Facebook-Cambridge Analytica 到各类 SDK 暗中采集，再到移动应用偷偷读取剪贴板、位置和设备信息，技术公司总能找到一个比用户认知更深一点的位置，伸手去摸数据。每次暴露后，行业都会说要更透明、更尊重用户；每次新技术出现，又总有人忍不住多拿一点。

LinkedIn 这次争议最讽刺的一层在于，它的品牌长期建立在“职业信任”上。你会把它当成一个西装革履的平台：体面、克制、商务、讲规则。可如果实名职业平台也开始在浏览器里“搜身”，那就像你去参加一场行业论坛，门口保安不仅看你的名片，还顺手翻了你的公文包，并把里面品牌标签记下来发给主办方和合作伙伴。问题不是保安认不认识你，而是主办方有没有权这么做。

从用户角度看，最值得追问的其实只有两个问题。第一，平台是否清晰告知，并给了真正可拒绝的选择？第二，平台收集的数据是否严格限于必要范围，且绝不用于竞争情报和差别执法？如果这两个问题答不漂亮，再高级的“安全风控”措辞都很难服众。

对于监管者来说，这件事也许会成为一个样本：在 AI、云服务、企业软件高度集中的时代，超级平台的力量不再局限于内容分发和广告，它正在渗透到工作软件、销售流程、招聘行为和设备端信号。未来的反垄断和数据保护，不得不更细地盯住这些“看不见的探针”。

对普通人而言，教训也很朴素：别把“职业平台”天然等同于“值得信任的平台”。越是与你真实身份深度绑定的服务，一旦越界，伤害往往越实在。因为它知道的不只是你的兴趣，而是你的饭碗、你的去向，和你还没说出口的下一步。

Summary: 我对这起事件的判断是：无论 BrowserGate 的全部指控最终能否被法院或监管逐条确认，LinkedIn 都已经站在一个极其危险的位置上。职业社交平台一旦跨过“站内行为分析”，开始触碰用户设备和第三方工具生态，性质就变了。接下来，欧洲监管很可能会把这类“浏览器级探测”纳入更严格审查，其他大型平台也会被顺带点名。对科技行业来说，这不是孤例，而是一个信号：平台权力扩张到设备层之后，真正的反弹才刚开始。

LinkedIn隐私争议浏览器扫描BrowserGate微软数据收集浏览器扩展职业身份画像第三方安全公司商业情报