安全漏洞调查报告

"沉浸式翻译"插件
数据泄露事件
深度调查

超过300万用户面临隐私泄露风险,商业机密、个人身份信息、加密货币私钥等敏感数据被公开曝光

300万+
受影响用户
559.6MB
泄露数据包
多平台
数据流传
破碎的隐私盾牌,象征数据泄露

执行摘要

关键发现

"沉浸式翻译"插件的"翻译快照"功能存在严重设计缺陷,导致用户翻译的敏感内容被公开暴露在互联网上,并被搜索引擎索引。已确认的泄露数据包括个人身份信息、银行流水、商业合同、加密货币私钥等高度敏感内容。

影响范围

Edge浏览器用户超过300万,个人和企业用户均受影响

泄露类型

个人身份信息、财务数据、商业机密、加密货币私钥

传播渠道

搜索引擎索引、暗网数据包传播、公共网络可访问

核心问题概述

问题核心:翻译快照的公开性与可索引性

"沉浸式翻译"插件此次引发广泛关注的隐私泄露问题,其核心在于其"翻译快照"功能的设计缺陷。该功能允许用户将翻译后的网页或文档内容生成一个可分享的链接,即"快照"。然而,根据多方信源的交叉验证,这些快照链接在生成后并未得到适当的安全保护,导致其内容可以被公开访问,并且被搜索引擎的爬虫程序抓取和索引[11] [14]

这意味着,任何用户在使用该功能时,其翻译的内容,无论是否包含敏感信息,都有可能被上传到一个可公开访问的服务器上,并最终出现在搜索引擎的搜索结果中。这一问题的严重性在于,用户可能并未意识到其分享行为等同于将内容发布到整个互联网上。

"开发团队在设计此功能时,显然未能充分预见到这种风险,也未采取如设置访问密码、限制链接有效期或部署反爬虫机制等基础的安全措施。"

风险本质:用户私密信息通过翻译过程被意外公开

此次事件的风险本质,是用户在不知情或误解的情况下,通过"沉浸式翻译"插件的"快照"功能,将本应是私密或受限访问的信息,意外地公开到了互联网上。许多用户可能误以为"分享链接"仅仅是将内容发送给特定的个人或群体,类似于通过即时通讯工具发送文件。

然而,实际情况是,这些快照链接是公开可访问的,任何获得链接的人都可以查看内容,更不用说被搜索引擎自动收录[14]。这种信息不对称导致了严重的后果。

已确认的泄露案例

  • • 包含加密货币钱包私钥的文档被泄露[8]
  • • 众安国际参与圆币科技A2轮融资的认购协议[15]
  • • 个人身份信息、银行账户、保险记录等敏感数据[14]

影响范围:从个人用户到企业机构的潜在威胁

个人用户风险

  • 个人身份信息(PII)泄露:姓名、身份证号、住址、电话
  • 加密货币钱包私钥泄露,直接威胁数字资产安全
  • 保险记录、签证申请、医疗报告等敏感文件

企业用户风险

  • 商业合同、融资协议、内部战略规划
  • 客户数据、财务报表、人事记录
  • 企业声誉损害、法律合规风险

交叉验证:多方信源证实问题存在

科技媒体报道与技术分析

报道焦点

多家科技媒体(新浪、T客邦、蓝点网)均指出"快照"功能成为数据泄露源头,缺乏基本安全防护措施[6] [7]

技术分析

快照链接未部署robots.txt反爬虫机制,导致搜索引擎可直接抓取和索引内容[11] [14]

专家观点

网络安全专家认为,此次事件严格来说并非传统意义上的"安全漏洞",而是"功能本身存在缺陷" [6]

影响确认

南都鉴定评测实验室确认,大量商业合同、保险记录、内部文档和个人信息等敏感内容被泄露[6]

用户社区与社交平台反馈

发现时间线

2025年8月初
社交平台首次出现用户反馈
V2EX社区
用户发帖称"沉浸式翻译的网页快照功能会泄露隐私"[14]
X平台
@Cryptohaifeng_ 发文指出安全漏洞可能导致钱包私钥、融资协议泄露[8]
"开发者在设计分享功能时,默认将所有内容公开,且不做任何限制和提醒,是极不负责任的行为。" — V2EX社区用户评论

具体风险实例与潜在后果

敏感信息泄露类型

个人身份信息

  • • 姓名、身份证号码
  • • 家庭住址、手机号码
  • • 银行卡号、银行流水
  • • 保险记录、医疗报告
来源:V2EX用户反馈 [14]

财务与交易信息

  • • 加密货币钱包私钥
  • • 融资协议、商业合同
  • • 银行流水、交易记录
  • • 投资文件、财务报表
来源:X平台报告 [8]

企业内部文件

  • • 商业合同、内部文档
  • • 人事记录、战略规划
  • • 技术规范、客户数据
  • • 政府文件、坦克图纸
来源:媒体报道 [6]

已确认的风险后果

信息在公共网络上可被搜索

由于插件的"快照"功能缺乏反爬虫和密码保护等安全措施,导致生成的翻译快照可以被搜索引擎的爬虫程序直接抓取并建立索引。南都鉴定评测实验室的报道中明确指出,部分搜索引擎仍留存有相关索引,提示不少用户利用该插件翻译过的商业合同、保险记录、签证申请等敏感内容曾被收录[6]

实际案例:V2EX社区用户证实,通过搜索引擎可以搜索到泄露的快照内容,其中包括了政府文件和坦克图纸等高度敏感信息[14]

数据一旦泄露难以完全移除

尽管"沉浸式翻译"开发团队在事件曝光后迅速下线了相关功能,并使得涉嫌泄露用户数据的网页快照链接均已无法访问,但此前泄露的翻译结果数据仍在互联网上流传。T客邦的报道提到,目前暗网上已经出现了一个名为"readit.site.tar.zst"的压缩文件,大小为559.6MB,其中包含了大量从"沉浸式翻译"的快照服务中泄露的数据[7] [11]

数据包详情:压缩文件大小559.6MB,包含大量敏感内容,已在暗网等渠道流传,无法完全清除。

对企业声誉与合规性的影响

对于企业用户而言,数据泄露事件不仅带来了直接的经济损失风险,更对其声誉和合规性构成了严重威胁。当企业的商业合同、内部文档或客户数据被泄露时,可能导致其在市场竞争中处于不利地位。

合规风险

可能违反GDPR、个人信息保护法等数据保护法规

声誉损害

客户和合作伙伴信任基础动摇,监管机构关注

官方回应与应对措施

开发团队的初步反应

承认问题存在

上海书同文网络科技有限公司在2025年8月9日的声明中表示:"最近接到社区反馈,有少数用户在使用该功能时,不慎分享了可能包含个人信息的页面,且未及时在个人中心删除"[6] [8]

这一表述实质上承认了用户通过其"快照"功能分享的内容导致了个人信息的泄露。

解释设计初衷

开发团队强调:"这并不涉及任何翻译内容或后台用户数据的泄露,因为只有用户在主动使用双语网页分享功能时,才会生成对外可访问的链接"[6]

试图将事件性质定义为"功能使用不当"而非"安全漏洞"。

已采取的补救措施

紧急下线相关功能

为避免潜在的隐私风险,开发团队决定暂时下线此功能,并且在建立完善的隐私保护机制之前不会重新上线[6] [8]

这一举措是防止事态进一步恶化的紧急止损行动。

发布公开声明与致歉

开发团队通过发布公开声明的方式,向用户和公众进行了说明和致歉[7]

危机公关的标准操作,旨在平息用户愤怒,重建公众信任。

后续改进计划

加强用户隐私保护机制

开发团队承诺"建立完善的隐私保护机制",可能包括强制设置密码和有效期、增加验证码、设置链接失效时间等措施[6] [8]

从"默认公开"转向"默认私密"

优化功能设计以避免类似风险

在产品设计中更加注重"隐私 by Design"理念,在用户点击"生成快照"时提供明确的风险警告,并提供不同的分享选项。

将隐私保护作为核心设计原则

用户建议与风险防范

对已泄露信息的处理建议

立即进行自查

  • • 回忆是否曾使用该功能分享敏感文档
  • • 在搜索引擎中使用个人信息关键词搜索
  • • 检查是否有相关内容被收录

监控个人信息

  • • 密切关注银行账户和信用卡账单
  • • 定期检查信用报告
  • • 警惕任何异常活动

加密货币用户紧急措施

对于泄露了加密货币私钥的用户,必须立即将资产转移到一个全新的、安全的钱包地址,因为原私钥已不可信。这是防止资产被盗的最紧急措施。

重要提醒:私钥一旦泄露,攻击者可以立即将钱包中的所有资产转移,且交易无法撤销。

当前用户的使用建议

谨慎使用翻译插件处理敏感信息

任何需要联网的第三方工具,在处理敏感信息时都存在潜在风险。用户应遵循"最小必要原则",即只翻译那些不含个人身份信息、财务数据、商业机密等敏感内容的公开信息。

推荐做法
  • • 使用离线翻译工具
  • • 选择端到端加密服务
  • • 避免处理敏感文档
注意事项
  • • 假设信息可能被公开
  • • 三思而后行
  • • 养成谨慎习惯

关注插件的隐私设置更新

在开发团队承诺进行改进后,现有用户应密切关注其后续的版本更新和官方公告。一旦"快照"功能重新上线,需要仔细阅读相关隐私政策和功能说明,了解是否增加了安全机制。

长期风险防范策略

选择信誉良好的工具

  • • 优先选择开源、经过社区审计的工具
  • • 关注开发商的隐私记录和政策
  • • 查阅安全评测报告
  • • 考虑付费的专业服务

管理浏览器插件权限

  • • 定期检查插件所需权限
  • • 禁用不必要的权限
  • • 只从官方应用商店安装
  • • 避免来源不明的扩展
"记住,免费的服务往往以用户数据为代价,对于处理重要信息的场景,投资于一个值得信赖的付费工具通常是更明智的选择。"