广受好评的“沉浸式翻译”插件近期遭遇重大安全危机。其网页快照功能存在致命设计缺陷，导致大量用户敏感信息，包括个人隐私、商业机密、知识产权及高风险信息等，被泄露至公开网络，且可能被搜索引擎索引。此前，插件团队限制第三方API的争议性决策已引发社区不满，与此次数据泄露事件形成强烈反差，严重打击了用户的信任。尽管官方已发布道歉声明并承诺撤销API限制，但声明被指避重就轻，未能充分解释技术问题和补救措施。已有早期预警被忽视，凸显了数据处理规范和信任危机。

🌐 **网页快照功能引发大规模数据泄露**：沉浸式翻译插件的网页快照功能存在严重安全漏洞，允许用户生成并分享HTML文件。这些文件被上传至未设安全防护的腾讯云对象存储，导致身份证号码、住址、商业合同、财务报表、学术论文、研究报告，甚至加密货币助记词和API密钥等敏感信息被公开暴露，且可能被搜索引擎抓取。

⚖️ **限制第三方API决策与数据泄露形成讽刺反差**：在安全漏洞曝光前，沉浸式翻译插件团队曾宣布限制用户使用未经认证的第三方翻译API，理由是“保障数据安全”。然而，此举被社区视为商业化驱动，旨在推高官方API使用率，引发广泛抵制。此次限制API的理由与后续大规模数据泄露形成强烈反差，严重损害了用户对团队的信任，被指“言行不一”。

📢 **官方回应被指避重就轻，信任危机加剧**：面对舆论风暴，沉浸式翻译团队发布道歉声明，承认API限制决策错误，并承诺撤销。然而，声明将API限制公告淡化为“调查问卷”，且对数据泄露的技术原因和补救措施着墨不足，未能直接回应核心问题。此外，有信息显示，在事件爆发前已有开发者发出数据处理不规范的警告，但未引起足够重视，导致漏洞全面暴露。

📈 **用户信任受损，插件面临严峻挑战**：此次安全事件不仅暴露了插件在数据处理上的严重疏忽，也让其长期以来建立的社区信任遭受重创。尽管官方试图通过道歉和政策调整来挽回局面，但用户对数据安全的担忧以及对开发团队的信任度已大打折扣，插件的未来发展面临严峻挑战。

近期，广受好评的浏览器翻译插件“沉浸式翻译”（Immersive Translate）因重大安全漏洞被推上风口浪尖。插件的网页快照功能导致用户敏感信息大规模泄露至公开网络，而此前一项限制第三方API的争议性决策，更让其深陷技术与信任双重危机。

一、事件核心：网页快照功能引发的安全灾难

“沉浸式翻译”安全事件的导火索，源于其网页快照功能的致命设计缺陷。

1. 技术漏洞暴露根据技术社区反馈及B站等网站用户反馈，“沉浸式翻译”的网页快照功能允许用户生成并分享网页内容的HTML文件。这些文件被上传至腾讯云对象存储（COS），但存储服务器被设置为公开访问，且未实施任何身份验证或权限控制。这意味着，任何知晓链接的人均可直接访问文件。更严重的是，这些链接可能被搜索引擎爬虫索引，导致数据彻底暴露。

2. 泄露数据触目惊心泄露内容涵盖广泛且敏感，包括：

• 个人隐私：身份证号码、住址、个人简历等。• 商业机密：合同、财务报表、项目方案。• 知识产权：学术论文、研究报告。• 高风险信息：加密货币助记词、API密钥等。

二、导火索：限制第三方API引发的社区反弹

安全漏洞曝光前，“沉浸式翻译”已因一项商业化决策引发社区强烈不满，为危机埋下伏笔。

1. 争议决策开发团队曾宣布计划禁止用户使用未经认证的第三方翻译API，理由是“保障数据安全”。然而，该插件的开放性——允许用户自由接入API——是其核心吸引力之一。此举被社区解读为商业化驱动，意在通过限制用户选择推高官方API使用率，引发广泛抵制。

2. 讽刺性反差限制API的理由是“保护隐私”，却与随后曝光的大规模数据泄露形成强烈反差。社区对开发团队的信任因此受到重创，部分用户直指其“言行不一”。

三、官方应对：道歉难挽信任

面对舆论风暴，开发团队迅速采取危机公关措施，但效果有限。

1. 官方回应团队发布道歉声明，承认API限制决策错误，归因于“增长压力下的焦虑”，并承诺撤销相关计划，永久保持插件开放性。然而，声明被指避重就轻：

• 将API限制公告淡化为“调查问卷”，被批混淆视听。• 对数据泄露事件的技术原因及补救措施着墨不足，未能直面核心问题。

2. 早期预警被忽视据V2EX等技术论坛信息，早在事件爆发前，已有开发者警告插件在数据处理上的不规范行为，如未经授权上传API密钥至自有服务器。这些信号未引起足够重视，直至漏洞全面暴露。

相关连接

B站视频L站|24年12月有用户反映盗取b站用户数据等操作V站24年5月用户反映强制收集用户所有tokenL站|沉浸式翻译将禁止使用第三方API接口事件回顾

文章首发地址

原文链接