LinkedIn 被指秘密扫描用户浏览器扩展，数据共享至第三方

一项名为 "BrowserGate" 的调查显示，LinkedIn 会在每次页面加载时运行一段隐藏的 JavaScript 代码，扫描用户浏览器中安装的 Chrome 扩展程序，然后将收集到的数据加密发送至 LinkedIn 服务器，并与第三方公司共享。

这项调查由爱沙尼亚公司 Teamfluence Signal Systems OÜ 发起，目前已向慕尼黑地方法院提交初步禁令申请。调查设立的专业网站 browsergate.eu 公开了完整的被扫描扩展列表。

根据 BrowserGate 提取自 LinkedIn 生产环境 JavaScript 代码包的数据，LinkedIn 的扩展扫描名单在两年间经历了急剧膨胀：

仅在 2025 年 12 月至 2026 年 2 月期间，LinkedIn 就新增了 708 个扫描目标，平均每天新增约 12 个。这些被扫描扩展的累计用户覆盖约 4.05 亿人。

被扫描的 6222 个扩展远不止 LinkedIn 自身相关工具，覆盖多个敏感类别：

求职工具（509 个）：包括 Indeed、Glassdoor、Monster 等平台的浏览器扩展。由于 LinkedIn 知道用户的雇主信息，这意味着它可以交叉比对出"某公司的某员工正在使用求职工具"
竞品产品（200+ 个）：Apollo、Lusha、ZoomInfo、Hunter.io 等直接与 LinkedIn Sales Navigator 竞争的销售工具。通过检测扩展与雇主的关联，LinkedIn 实质上在构建一个竞争对手的客户数据库
宗教相关标记：如伊斯兰内容过滤扩展 PordaAI（"模糊违禁内容，基于伊斯兰价值观的实时 AI"）
政治倾向指示器：新闻源选择器、反锡安主义标签等政治类扩展
残障辅助工具：ADHD 管理器、自闭症支持工具、屏幕阅读器等

调查指出，扫描数据的传输涉及第三方公司，其中明确提及的是 HUMAN Security（原名 PerimeterX），一家总部位于美国和以色列的网络安全公司。该公司的反机器人检测技术被嵌入在数百个主要网站中，包括 LinkedIn。

LinkedIn 隐私政策中对浏览器扩展扫描没有任何提及。BrowserGate 研究人员检索了隐私政策中的 "extension"、"browser"、"installed"、"software"、"scan"、"detect"、"fingerprint" 等关键词，均无结果。

在欧盟 GDPR 框架下，处理能够揭示宗教信仰、政治倾向、健康状况等特殊类别数据，需要获得数据主体的明确同意（GDPR 第 9 条）。LinkedIn 的扫描覆盖了这些敏感类别，但未取得任何形式的用户同意。

潜在的法律后果包括：

BrowserGate 提供了一个可搜索的数据库，用户可以前往 browsergate.eu/extensions/ 查看自己安装的扩展是否在 LinkedIn 的扫描名单中。

对于希望降低风险的 Chrome 用户，调查建议使用浏览器隔离方案——例如为 LinkedIn 创建一个单独的浏览器配置文件，不安装任何扩展，或切换至 Firefox / Safari 访问 LinkedIn。