刚才在Chrome商店搜AI工具,看到个叫AI浏览助手的插件,评价还挺多。
它权限列表里写着能访问所有网站数据、读取浏览历史、修改页面内容这些,我有点慌。
我现在公司工位上,正好想装个辅助写代码的工具,但又怕隐私全泄了。已经看到有人说这种插件可能偷偷收集数据。
到底该不该装?要不要先查下开发者背景?
刚才在Chrome商店搜AI工具,看到个叫AI浏览助手的插件,评价还挺多。 它权限列表里写着能访问所有网站数据、读取浏览历史、修改页面内容这些,我有点慌。 我现在公司工位上,正好想装个辅助写代码的工具,但又怕隐私全泄了。已经看到有人说这种插件可能偷偷收集数据。 到底该不该装?要不要先查下开发者背景?
刚才在Chrome商店搜AI工具,看到个叫AI浏览助手的插件,评价还挺多。
它权限列表里写着能访问所有网站数据、读取浏览历史、修改页面内容这些,我有点慌。
我现在公司工位上,正好想装个辅助写代码的工具,但又怕隐私全泄了。已经看到有人说这种插件可能偷偷收集数据。
到底该不该装?要不要先查下开发者背景?
插件申请"读取和更改您在访问的网站上的所有数据"这类权限是否正常,要看插件实际功能是否必须跨所有网站运行。如果它只宣称辅助写代码,却申请访问所有网站的全部数据,这不正常,不建议直接安装,先暂停操作。
这类权限属于 Chrome 最高敏感级,等于把你的网页浏览内容、表单输入、cookie 全部交出去了。很多恶意或采集型插件就是靠这种权限悄悄收集数据。即便是正规插件,也可能因为开发者被恶意接管或转卖,导致历史用户数据遭泄露。
Chrome 扩展的权限体系中,"读取和更改您在访问的网站上的所有数据"(通常对应 *://*/* 主机权限)一旦授予,插件就能在你打开的任何网页上注入脚本、读取页面文本、截获你输入的所有内容,包括但不限于登录密码、财务信息、企业内部系统。它不需要再向你确认。
对于纯粹辅助写代码的工具,典型场景是检测你当前页面是否为 GitHub/GitLab/代码托管平台,然后注入辅助面板。这种情况下,只需要针对特定域名(比如 github.com)授权,而不是所有网站。
| 插件声称功能 | 可能合理的权限需求 | 不合理的标志 |
|---|---|---|
| AI 写代码辅助 | 仅访问 github.com、gitlab.com 等代码平台 |
要求访问所有网站,特别是银行、邮箱域名 |
| 网页内容翻译/摘要 | 访问当前用户主动打开的网页 | 静默读取所有标签页内容并上传服务器 |
| 浏览历史管理 | 读取浏览历史本身 | 同时要求读取所有网站数据和修改页面内容 |
如果权限列表中同时出现"读取浏览历史""修改页面内容"和"访问所有网站数据",而插件介绍没有清晰解释为什么需要这些权限——这是高风险信号。
| 做法 | 安全 | 不安全 |
|---|---|---|
| 授权范围 | 安装时将权限修改为"在特定网站上"或选择"点击时"运行 | 直接点"添加扩展程序"接受所有默认权限 |
| 开发者核实 | 查看开发者的其他插件、官网、隐私政策、在 GitHub 上是否有开源仓库 | 仅凭商店评分和评论就安装 |
| 数据审查 | 用浏览器开发者工具观察扩展网络请求,确认是否向未知域名发送数据 | 安装后长期不检查,持续放任所有权限 |
| 应对建议 | 寻找开源或知名公司的同类工具,例如 GitHub Copilot、Codeium 等明确只访问代码页的扩展 | 使用匿名开发者、无隐私政策、权限又极大的孤品插件 |
开发者名 + privacy 或 插件名 + 恶意,查看是否有安全社区的负面报告。如果你已经安装又确实需要这类工具,现在就去 chrome://extensions/ 把该插件的"允许访问的网站"改成"在特定网站上"或者"点击时",并只添加你实际用到的代码平台域名。对疑似过度收集个人信息的应用,可向 12377 举报中心 反映。