#安全资讯 安装在近 100 万台设备的 245 款扩展程序包含恶意 js 库，会在用户不知情的情况下帮助 AI 公司利用用户机器和宽带 IP 抓取数据。研究人员将其报告给谷歌后，目前谷歌已经开始删除这些扩展程序，用户可能会看到 Chrome 弹出的提醒，收到提醒意味着用户也中招了。查看全文：https://ourl.co/109751

不得不说部分创业者总能跟随热潮找到赚钱的路子：日前有研究人员发现安装在近 100 万台设备的多款浏览器扩展程序存在安全风险，这些扩展程序会利用用户 PC 和宽带 IP 地址帮助 AI 公司抓取内容。

具体来说这些扩展程序在 Chrome、Firefox 和 Microsoft Edge 上的安装量高达 90.9 万次，涉及到 245 款扩展程序，这些扩展程序全部整合 MellowTel-js 库，开发者可以利用这个库获利。

MellowTel-js 是 Olostep 开发和运营的，该公司自称是世界上最可靠和最具有成本效益的 Web 抓取 API 公司，其服务主要是避免机器人检测并可以在几分钟内并行处理多达 100K 个请求。

付费客户例如 AI 公司可以提交想要访问的网站或网页，Olostep 则会通过 MellowTel-js 下发指令让包含这个库的扩展程序通过隐秘方式进行访问和抓取，全程用户不会发现任何异常问题。

AI 公司自己抓取数据可能需要频繁更换 IP 和 UA 避免被网站封禁，MellowTel-js 通过扩展程序使用用户的家庭宽带 IP 地址进行抓取触发风控概率更低，网站也无法通过识别 IP 的方式进行封禁。

那对用户来说安全风险是什么？

研究发现 MellowTel-js 会要求扩展程序激活 websocket 然后连接到 AWS 服务器，这个服务器可以收集安装扩展程序用户的详细信息，包括位置、可用带宽、检测信号和状态等。

在实际工作时 MellowTel-js 还会通过隐藏的 iframe 框架注入到用户当前正在查看的页面，该页面连接 AWS 服务器指定的网站列表，在用户不可见的情况下通过浏览器后台访问这些列表并抓取数据。

这些扩展程序还可能会在发出 Web 请求和响应时对安全标头进行修改，即删除原有服务器的安全标头，这可能导致用户面临跨站脚本攻击等风险，而正常情况下这类攻击会被阻止。

简而言之：

MellowTel-js 通过大量扩展程序在用户不知情的情况下将用户变成机器人，消耗用户的浏览器内存和带宽等，同时还损害网站利益，因为未经授权的抓取可能存在侵权以及消耗网站服务器资源等问题。

在将问题报告给谷歌后，目前谷歌已经开始从扩展程序商店中清除部分包含 MellowTel-js 库的扩展程序，用户也可能看到 Chrome 弹出的有害扩展程序的提示，看到提示时用户可以点击移除按钮将其删除。