此篇文章聚焦於一款曾廣受歡迎的 Chrome 擴充功能「Save Image as Type」的轉變與爭議,從實用工具走向資安疑慮的過程,呈現出數位生態中潛藏的風險。原本這款工具主打讓使用者能快速將網頁圖片轉存為 JPG、PNG 等常見格式,操作直覺、功能明確,因此累積超過百萬下載與不錯的評價,甚至一度獲得官方推薦。然而,隨著資安研究人員深入分析,其內部程式碼被發現存在可疑行為,使得這個原本便利的小工具,逐漸被重新檢視其背後的運作機制與安全性。
進一步來看,文章指出問題核心在於一段名為 inject.js 的程式碼,該程式會在背景持續運作並與外部伺服器互動。根據調查,這段程式不僅可能蒐集使用者的瀏覽行為,還會在特定情境下,特別是網購過程中,悄悄將原始商品連結替換成帶有分潤機制的連結,讓購買產生的佣金轉移至幕後操作者。這種手法被稱為 Cookie 填充,是聯盟行銷詐欺中常見的一種形式,影響範圍甚至可能涵蓋超過 500 個網站,包含多個知名平台。更值得注意的是,這些行為並非隨時發生,而是設計了觸發條件,例如需累積一定下載次數或頁面圖片數量,藉此降低被使用者察覺的機率,顯示其運作具有一定程度的隱蔽性與策略性。
最後,文章也將事件脈絡延伸至擴充功能的經營權變動,指出該工具在 2024 年 8 月易主後,疑似開始出現異常行為,並非一開始即存在問題。微軟已於 2024 年底率先將其自 Edge 商店移除,而 Google 則在 2026 年 3 月正式將其標記為惡意軟體並全面停用與下架,顯示大型平台對此類風險的警覺逐步提升。文章同時提醒使用者,即使尚未出現明顯惡意攻擊,例如植入病毒等行為,但只要涉及瀏覽資料蒐集與連結竄改,就已對隱私構成威脅。專家因此建議,若仍有圖片轉存需求,應選擇功能單純且來源可信的替代工具,以降低潛在的資安風險,並重新思考在便利與安全之間的取捨。
