原文其实就挺莫名其妙的,现在被国内的自媒体机翻搬运之后,一些内容就更加离谱了。
首先需要澄清的是,wetab 和 infinity 新标签页的确均属我们团队旗下产品,但并未“被投毒”,也没有“主动投毒”,更没有“埋伏长达七年八年”。
infinity 新标签页已上线十余年,如果多年来就已经存在恶意行为,不至于等到今天才被曝光。
以下是澄清原文:
一、关于 koi 团队提到的 Clean Master 浏览器扩展的说明
Clean Master (包含 Chrome 版本和 Edge 版本)最初确由我们团队设计与开发,定位为一款浏览器清理 / 新标签页工具。在最初上线阶段,我们提交的版本严格遵守各浏览器扩展商店的政策,不包含安全报告中提到的后门、远程代码执行或恶意监控行为。
后续出于业务调整和资源聚焦的考虑,Clean Master 的 Chrome 版本整体出售给了第三方,包括相关代码及上架账号的控制权,也无法对其后续更新内容或数据收集行为进行干预或审核。
安全公司报告中提到的 Clean Master Chrome 版本在 2024 年之后推送的恶意更新,并非由我们团队发布,我们也是通过公开渠道才知悉该情况。
需要注意的是,由于 Edge 商店账号及权限无法与 Chrome 一并合法转移给买方,为避免后续出现责任不清、版本混乱等风险,我们已于2024 年主动将 Clean Master 的 Edge 版本下架,停止维护和更新。并且,在下架前,Edge 版本的 Clean Master 的最终更新时间就已截止在 2020 年,因此与该报告中关于“2024 年之后推送的恶意更新”并无关联。
目前,我们团队不再运营任何名为「 Clean Master 」的浏览器扩展,如用户本地仍保留历史版本,建议及时卸载,以防旧版本被不法分子二次篡改或利用。
二、关于 WeTab / Infinity 的安全性说明
WeTab 与 Infinity由我们团队独立设计、开发和持续运营,代码基线与早期 Clean Master 已经完全不同,与恶意后门活动无关。
我们对 WeTab / Infinity 进行了多轮内部安全自查,未发现安全报告中所述的远程代码执行后门或恶意行为,也不存在在用户不知情情况下执行任意第三方脚本的情况。
在 koi 团队的公开报告中,并未给出证明 WeTab / Infinity 存在「后门」的有效技术证据,更多是基于「同一开发者账号」「用户体量较大」等关联进行提及。
且原文里提到了 WeTab 收集用户数据这几点,实际上都是为了正常功能所需,且基本都已注明在隐私协议中,不会对用户隐私造任何影响,但被该团队夸大描述,鉴于许多用户无法理解,这里再次解释下原因:
1.每个访问过的 URL:我们默认并没有针对用户访问的 url 和网页内容进行收集,除特殊业务需要,比如:网页对话会读取网页内容,快捷添加图标会读取网页 url 和标题
2.搜索查询:针对用户的搜索内容,有调用 suggestion.baidu.com 和 google.com 接口获取搜索建议,关闭搜索建议功能后则不再调用此接口;
3.本地会记录搜索内容:用于搜索历史功能,但是仅存在本地客户端,不会发送到服务器
4.鼠标点击:我们有使用 google-analytics 匿名记录图标的点击次数,数据存储在 google-analytics ,本地有记录图标点击的次数主要是 ctrl+F 功能排序需要,不会再发送到其他服务器
6.收集大量用户数据并将其泄露到 17 个不同的域:文章贴的代码是百度统计的代码,这个使用的百度默认的搜集,并不会对用户隐私造成任何威胁,并且文章中指向性很强,多次提到发送到中国服务器,这点我们清者自清
7.返利链接:也是一个老生常谈的话题了,返利链接是市面上绝大部分新标签页工具的盈利方式,用户完全可以自行修改,并非罪大恶极之事。
三、关于 WeTab / Infinity 的下架说明
部分用户注意到 WeTab 、Infinity 在某些浏览器扩展商店中出现「下架 / 不可用」的情况,在此做出明确说明:
由于 Clean Master 与 WeTab 、Infinity曾使用同一开发者账号上架,当相关账号因 Clean Master 事件受到平台风控审查时,平台出于整体风险控制,会对同一账号下的多款扩展采取「统一处理」或「临时下架」措施。
换言之,WeTab 与 Infinity 的下架,是由于开发者账号受到波及,而非因为这两款扩展自身存在恶意代码或安全问题。
在此期间,我们已主动向平台提交了 WeTab / Infinity 的技术说明与安全自查结果,正积极沟通以恢复正常上架。
请大家知悉:
已安装的 WeTab / Infinity 本地版本代码保持不变,不存在临时植入后门或新增恶意行为的情况;下架属于平台账户维度的风控结果,并不代表产品本身被技术认定为恶意扩展。如,此前多款用户基数庞大的广告拦截类扩展基于政策等原因被频繁禁用,且也被打上了恶意扩展的标识。
 | 1 yxcanl OP 造谣一张嘴,辟谣跑断腿 |
 | 2 littleJohn 12 天前 via iPhone 怪不得我今天插件突然被关掉了。。。 |
 | 3 Dawnlc 12 天前 或许开源并由第三方审计才能自证清白吧,这下真要看看肚子里有几碗粉了 |
 | 4 NanFengXiangWan 12 天前 @yxcanl 什么时候可以恢复上架商店 |
 | 5 SiWXie 12 天前 via iPhone  2 infinity 也算知名度较高的插件了。看了原帖。也没拿出什么实质性证据,目前还在用。下面评论有种鼓破众人捶即视感。"我早就怀疑…","我早就卸载…","我早就换成…",风气就是这样,有人带头骂,后面就有人跟着一起吆喝。骂两句又不费什么事,还能缓解工作压力,具体骂的对象是谁,这不重要。 |
 | 6 usn PRO 9 你是说,现在谷歌建议我卸载,因为包含恶意内容,我还要留着它是吗 |
 | 7 huzhenjun 12 天前 via iPhone 1 那为啥 google 建议我卸载呢, 先让 google 关掉这个建议 |
 | 8 xuhuanzy 12 天前 via Android 3 "清者自清",那你跟谷歌清一下先 |
 | 9 jhdxr 12 天前 2 引用 t/1176399#r_17053481 的内容 > 我怎么感觉很久之前就有被爆出来: > > https://www.reddit.com/r/Malware/comments/6dm5m2/the_infinity_new_tab_chrome_extension_appears_to/ > > 9 年前的帖子。 @SiWXie #5 你要的锤子来了 |
 | 10 siweipancc 12 天前 via iPhone 4 能开源一下吗,清者自清,反正我卸载了 |
 | 11 rick13 12 天前 infinitytab 我记得前两个月折腾翻墙工具的时候,观察到请求挺多的,但没当回事 |
 | 12 hullhutt 12 天前 狐猴浏览器也是你们的?还是卸载吧 |
 | 13 IlIl 12 天前 21 卖软件,卖客户 |
 | 14 dnslint 12 天前 Infinity next pro Google 商店不是没下架吗 而且 google 也没提示卸载啊 |
 | 15 InDom 11 天前 24 卖掉 Clean Master 的 Chrome 版本的时候你们有没有已经公示已交由其他第三方团队开发了? 安装插件的人是否知道自己安装的插件已经被第三章控制了? 你们卖掉插件是因为第三方有更好的开发、维护能力呢, 还是因为给的钱够多呢? 当然, 我们不便揣测. 如果你们把代码给第三方也就算了, 代码是你们公司的资产, 可用户也是你们公司的私产可以被你们打包出售么? > 目前,我们团队不再运营任何名为「 Clean Master 」的浏览器扩展,如用户本地仍保留历史版本,建议及时卸载,以防旧版本被不法分子二次篡改或利用。 所以你们知道“不法分子二次篡改或利用”这个事实, 但有没有及早、及时的公开给用户呢? |
 | 17 craiiz 11 天前 其他都还好说, [Local/session storage & cookies] 都敢动,你们可真牛逼。 |
 | 18 ersic 11 天前 我分不清不是我的责任,有风险我就卸载 |
 | 19 youyouzi 11 天前  那你跟谷歌说去吧 |
 | 20 Binwalker 11 天前 3 已经换成开源的 MYNT 了,国产闭源的还是少用,单纯信任问题而已 |
 | 21 lma8 11 天前 卖用户的时候不出来,现在出来澄清啥 |
 | 22 Hephaistos 11 天前 @Binwalker 国产开源这两年卖给灰产的也好几个了 |
 | 23 defunct9 11 天前 流氓还能出来澄清! |
 | 25 Zooplankton 11 天前 @youyouzi 好像申诉成功了?现在插件商店里 infinity 和 infinity pro 都没有这个警告了 |
 | 26 geekvcn 11 天前 国内不存在任何免费用爱发电的东西,只要有人出价立马会连用户一起打包卖给第三方流氓灰产公司。 微软这种大型公司在国内 EDGE 都玩劫持,篡改 URL ,别说小作坊了 |
 | 27 patrickyoung 11 天前 我寻思人家 koi 也没说错啊,你们自己看看你们代码里的百度返利…人家可不管你是不是主动劫持所有的请求 |
| 28 patrickyoung 11 天前 而且你们插件为啥检测 abp… |
 | 29 shuangbiaog 11 天前 1 卖掉产品的时候没有公示,现在出问题了才开始切割,也怪不得被人怀疑吧。 退一步说,即便现在安全,大家也会担心哪天再不声不响的把 WeTab / Infinity 也卖了 |
 | 30 culapicar 11 天前 google 没有封停用,看来恢复了 |
 | 31 liuchenx 11 天前 5 现在澄清只是因为 WeTab / Infinity 目前还没有完全变现而已,等到有黑产出高价,结局不还是和 Clean Master 一样 |
 | 32 testUser001 11 天前 这次风波无论真假,你们发声明做切割;卖掉的时候有没有告知用户呢?“不法分子二次篡改或利用” ? |
 | 33 FarAhead 11 天前 WeTab / Infinity 未来是否会整体出售给了第三方,包括相关代码及上架账号的控制,也无法对其后续更新内容或数据收集行为进行干预或审核。 |
 | 34 lonelywind 11 天前 @youyouzi 这不是警告,这是你没开这个扩展,没启用 |
 | 35 phithon 11 天前 即使你这个帖子的说法都是真的,卖用户的时候你们就应该想到后果。 |
 | 36 PalenessIb 11 天前 来马后炮一句:从一开始就不要用这些奇奇怪怪的插件。非必要不安装。 |
 | 37 UnluckyNinja 11 天前 天下没有不散的筵席,你如何保证当产品生命到达末期时,不会像 clean master 一样重蹈覆辙呢?若不能善后那即使现在再怎么安全,对于用户来说,无非就是一颗延迟启动的炸弹罢了。 |
 | 39 YsHaNg 11 天前 via iPhone 求锤得锤 就应该拉黑上链 再北极备份一份 永生永世耻辱柱上钉着 |
 | 40 iomect 11 天前 |
 | 41 gearfox 11 天前 卸载了 |
 | 42 guhuisec 11 天前 用用我自己开发的: https://www.webdesk.cc/ 可以用网址也可以用 edge 、chrome 插件 |
 | 43 xiangqiankan 10 天前 国产闭源的这种不太敢用啊 尤其涉及害怕盗取助记词 |
 | 44 zhangchongjie 10 天前 via Android 早就不用联网性质的标签页插件了,只用本地版 |
 | 45 nightlight9 10 天前 1 “不存在临时植入后门或新增恶意行为的情况” 作为一个澄清说明,这个遣词用句就很有意思。如果真的没问题,声明应该是“不存在任何后门和恶意行为” 为什么要强调不存在的是“临时植入”的后门,和“新增的”恶意行为呢?  正常情况下需要用这些定语吗? |
 | 47 Gilfoyle26 10 天前 就一句话《国产软件不要用》 |
 | 48 KinBob 10 天前 @Gilfoyle26 并不是,一个月前,我已在另一个 chrome tab 扩展上体验过这个事情了,没想到会发生到这个扩展上 |
 | 49 ShawnSky 10 天前 这玩意又不难,昨天自己拿 AI 手搓了一个,不上架,自己用;卸载所有的标签页扩展、还有不用的扩展了;看了 reddit 的内容,只能说你们有前科 |
 | 50 jqtmviyu 10 天前 1 返利链接:也是一个老生常谈的话题了,返利链接是市面上绝大部分新标签页工具的盈利方式,用户完全可以自行修改,并非罪大恶极之事。 听得直发冷汗. 像卖猪仔一样. |
 | 51 sdxe2v 9 天前 清者自清满纸荒唐言,从未见过如此厚颜无耻之人! 再次证明一条铁律:尽一切可能,远离国产闭源软件。 |
 | 52 momooc 9 天前 既然能卖 Clean Master ,那就能卖 WeTab 、Infinity 。说说什么时候卖后者?说的和你没有一点责任一样,就你是白莲花了。 |
 | 53 weing 8 天前 卖产品和用户的时候不出来澄清一下? |
 | 54 CTd1DJnr6KlM 7 天前 太阳底下没有新鲜事 感觉卖产品不公示这事已经发生 114514 次了 |
 | 55 zed1018 7 天前 我四个字总结一下“又当又立” |
 | 56 a href="/member/Weinnie" class="dark">Weinnie 7 天前 讲一大堆,还不是被 edge 提示有病毒? |
 | 57 woodnaonly 7 天前 Infinity 自带的输入框还是问题 |
Select Language