Google Chrome有許多方便的擴充功能,受到許多用戶喜愛,沒想到,一款擁有百萬用戶的熱門Chrome擴充功能,如今卻被揭露暗藏風險,引發資安疑慮。
★延伸閱讀★「小龍蝦」爆紅又掀卸載潮 中國揭5大安全隱患
根據《9TO5Google》報導,瀏覽器Google Chrome近期爆出安全警訊,一款名為Save image as Type的擴充功能,被官方標記為「待移除」,並直接從Chrome線上應用程式商店下架,這款工具原本擁有至少100萬用戶,主打可將網頁圖片轉存為JPG或PNG等格式,突破部分網站限制,因此深受不少用戶喜愛,不過有網友在Reddit率先發現,該擴充功能突然無法正常運作,其下載頁面也完全消失,引發社群關注。
外媒《XDA Developers》調查指出,問題核心出在擴充功能內的一段程式碼,報導顯示,該工具在「inject.js」檔案中植入可疑機制,會主動與外部伺服器通信,並取得一份URL清單,接著系統會將使用者的瀏覽行為導向特定連結,插入聯盟行銷追蹤碼,簡單來說,當使用者點擊或購買商品時,原本應屬於網站或創作者的佣金,可能被這個擴充功能「攔截」,轉為開發者收益,該系統已識別並影響多達578個網站,實際範圍可能更大。
Google recently disabled the “Save image as Type” Chrome extension and removed it from the Chrome Web Store.
— Windows Central (@WindowsCentral) March 17, 2026
For millions of users who relied on it to save images in formats like PNG, JPG, or WebP, the move came as a shock.
However, it appears the extension contained harmful… pic.twitter.com/l73nX63QJK
雖然目前沒有證據顯示該擴充功能會直接在用戶裝置中植入傳統惡意軟體,但其行為模式仍引發資安疑慮,該工具會在未充分告知使用者的情況下,蒐集使用行為與相關資料,運作模式類似另一款曾引發爭議的工具Honey,這種「灰色地帶」的資料收集方式,讓用戶在不知情下成為商業利益鏈的一環。調查發現,這款擴充功能的問題,可能與經營權轉移有關,該工具原本由Image4Tools團隊開發,但在2025年末(原預計2024年)出現異動,開發者聯絡信箱改為「Lauren Bridge」,顯示擴充功能可能已被出售,這類「先累積用戶、再轉手變現」的模式,近年在瀏覽器擴充功能市場並不罕見,一旦權限被濫用,影響範圍往往相當廣泛。
The Chrome extension “Save image as Type,” with 1M+ downloads, was taken over and updated with malicious code to steal affiliate commissions, XDA reports.
— Cybernews (@Cybernews) March 18, 2026
Learn more: https://t.co/1kxB2IzSjv#Chrome #extension pic.twitter.com/mj3izqtjTO
其實微軟(Microsoft)其實早在2024年底就偵測到相關異常行為,當時就已在旗下Edge瀏覽器中移除此擴充功能,但在Chrome平台上,該工具卻持續運作至2026年3月,顯示不同平台在審核與反應速度上存在差異,隨著事件曝光,不少用戶開始尋找替代工具,目前有另一款下載量較低的擴充功能Save image as PNG被認為相對安全,並符合Chrome規範,資安專家也提醒,使用瀏覽器擴充功能時,應定期檢查權限設定與開發者資訊,避免安裝來源不明或長期未更新的工具。
Une extension Chrome pratique pour sauvegarder des images, "Save as Image Type", retirée du magasin pour suspicion de malware ! 😮 Elle aurait détourné des liens d'affiliation. Des alternatives existent, mais restez vigilants... 🧐
— Clubic (@Clubic) March 16, 2026
https://t.co/omsTLNHgrK
