浏览器扩展因能提升用户浏览体验和增加功能而备受欢迎。许多开发者最初出于解决某些问题的热情,创造了各类有用的插件。然而,随着用户基数的增加,维护和更新的压力也随之加大。为了实现盈利,一些开发者选择引入所谓的“变现即服务”库,这些库声称可以帮助扩展开发者通过已有插件赚取收入,过程无需用户额外操作,甚至无需更多权限。有趣的是,其中名为Mellowtel的库,提供了一个颇具争议的变现模式——它通过动用用户设备的“闲置带宽”进行大规模网络爬取。Mellowtel的这种做法令人担忧,本文将从多个角度为你揭示真相。
Mellowtel库作为一款开源JavaScript库,可以被集成在各种浏览器扩展或者应用中。开发者通过npm简单安装后,只需添加如declarativeNetRequest和<all_urls>的权限,就能无缝植入扩展中。值得注意的是,虽官方声称用户需明确选择“共享带宽”,但实际上并无强制的验证机制,开发者甚至能默认开启所有用户的授权。如此灰色地带,为非法滥用埋下伏笔。安装了集成Mellowtel的扩展后,后台服务会创建WebSocket连接,与托管在亚马逊AWS Lambda上的服务器通信,并回传设备信息和网络状态。令人震惊的是,扩展还会秘密注入不可见的iframe加载指定网站内容,然后将这些页面的HTML反向传输至远程服务器。
这实际上是利用用户的浏览器作为分布式网络爬虫节点,借助用户的带宽和IP资源,为远端服务器完成大量网页抓取任务。通常,为防止网站内容被恶意嵌入或篡改,网页服务器会使用Content-Security-Policy、X-Frame-Options等安全头部设置。然而Mellowtel为了保证爬取工作正常进行,使用了delegativeNetRequest权限动态修改网页请求中的安全头,删除这些关键的防护头部,使得网页可以被无障碍加载在被注入的iframe中。这不仅破坏了网页正常的安全策略,也大幅提升了用户遭受跨站脚本攻击等网络威胁的风险。事实上,这些扩展不仅无意间将用户变为爬虫,更让用户的浏览行为在安全层面大大受损。通过使大量真实用户机器并行访问目标网页的数据,Mellowtel为其背后的公司Olostep打造了一支隐形且庞大的网络爬取军队。
Olostep是一家新兴企业,其主营业务是提供声称“最可靠且经济高效”的网页爬取API服务,广告中强调能避开反爬虫机制,实现高速并行请求。从公开资料中我们可以看到,Olostep提供的API接口允许客户指定需要抓取的网址、请求地区以及数据格式,与Mellowtel扩展中捕获的行为高度吻合。通过分布在数十万用户设备上的浏览器扩展,Olostep得以大规模分散爬取网页,为客户提供海量、实时的网页数据。这种模式虽然技术上创新,但存在极大道德和法律争议。更令人担忧的是请求流量经过用户设备,如果用户正处于企业内网或VPN环境,当指令被调度至相关设备时,其实质上成为“代理”帮第三方访问内部系统。虽然Mellowtel宣称在客户端层面努力保护用户认证信息,但因代码完全开放,且维护方拥有控制权,存在被修改或绕过防护的风险,一旦被滥用,可能导致严重的企业安全漏洞。
此外,一旦允许Mellowtel动态移除和修改重要的HTTP安全头,用户所有网页的安全防护都会被暂时关闭,攻击者可能利用这一时间窗口发起跨站脚本攻击、数据劫持甚至远程代码执行,给用户信息安全和隐私保护带来极大威胁。许多安全研究者也认为这类库本质上是一种“恶意软件”,有些浏览器商店已开始清理存在该库的扩展。全球范围内,数百款基于Mellowtel库的扩展曾大量流通于市场,累计安装量达到近一百万,涵盖Chrome、Edge、Firefox等多个浏览器。部分扩展宣称通过提供“绿色植树”等公益项目来吸引用户安装,实际则默默地为Olostep进行爬取服务,用户对此知情甚少。最近,一款名为Perceptron Network的扩展因违规使用Mellowtel被谷歌下架,官方虽声称关闭是误判,并鼓励用户通过开发者模式手动安装,但该事件反映出监管逐步加强,且对这类利用用户资源获利的行为警惕性大增。对于企业而言,若员工设备中存在这类扩展,可能会引发非授权的外部访问和内部网络风险,给安全防护带来难以估量的伤害。
提前识别带有Mellowtel库的扩展并及时清理,是保障网络环境安全的关键。综合来看,Mellowtel及其背后的Olostep构建了一套利用浏览器扩展作为“物理代理”的爬取系统,通过隐藏在大量普通插件中,实现了庞大的分布式网络数据采集。虽其业务模型在表象上提供开发者收益和用户收益,但实际隐含的风险和潜在的法规问题十分严峻。用户在安装浏览器扩展时,应保持谨慎,详细了解插件权限和开发背景,避免成为无意识的爬虫节点。开发者也应负责任地审查所依赖的第三方库,确保不会将用户安全置于危险境地。企业信息安全部门需要加强对浏览器扩展的监控与管理,阻止可疑插件的使用,保障内网安全不被越权访问。
作为互联网时代的终端用户,有识之士必须认识到即使是看似无害的浏览器扩展,也可能暗藏巨大风险,唯有提升安全意识和技术防护,才能在复杂多变的网络环境中立于不败之地。未来,期待相关监管机构和浏览器厂商能够完善插件审核机制,限制类似Mellowtel的潜在威胁,让用户的浏览行为更加安全可信。
