近日，沉浸式翻译扩展程序被曝出部分用户数据泄露，其中包含加密货币钱包私钥及商业合同等敏感信息。此次事件并非安全漏洞，而是由于快照链接未受保护，导致搜索引擎爬虫可直接抓取并公开索引。文章指出，用户在使用沉浸式翻译时，若涉及敏感内容，无论是通过第三方模型翻译还是生成快照，都存在数据泄露风险。快照功能尤其危险，可能将商业机密直接暴露于互联网。虽然泄露的链接已被移除，但数据文件仍在传播。文章建议沉浸式翻译借鉴百度网盘的密码分享机制，并提醒用户谨慎使用快照功能。

📝 **快照链接未受保护导致数据泄露：** 沉浸式翻译扩展程序提供的快照功能，其生成的共享链接未进行必要的安全保护，使得搜索引擎爬虫能够轻易抓取并公开索引快照内容，从而导致用户存储在快照中的敏感信息，如加密货币钱包私钥和商业合同等，暴露在互联网上。

🔒 **第三方翻译及快照的双重风险：** 用户在使用沉浸式翻译时，若选择本地翻译模型以外的第三方模型，数据会被发送至第三方进行处理，存在数据泄露的风险，尤其AI翻译模型可能将用户数据用于训练。结合快照功能，敏感内容的商业机密不仅可能泄露给第三方模型提供商，还会直接以完整的合同形式公之于众。

⚠️ **安全提醒与功能改进建议：** 沉浸式翻译在提供快照功能时，未能充分提醒用户注意敏感内容的风险，这是导致此次泄露的重要原因之一。文章建议，未来可以借鉴如百度网盘的强制分享设置密码的机制，要求访问者同时具备链接和密码，以增加安全性，防止搜索引擎和机器人抓取。

📂 **泄露数据仍在传播：** 尽管导致数据泄露的原始链接已被移除，但一份名为 readit.site.tar.zst 的 559.6MB 文件已在网上流传，其中包含了大量通过沉浸式翻译快照功能生成的敏感数据。用户一旦将数据公开发布，就难以彻底清除，因此曾使用过此功能的تنها建议用户警惕潜在的数据泄露风险。

日前有网友发现沉浸式翻译扩展程序的部分用户数据暴露在互联网上，这些数据包含部分敏感内容例如加密货币钱包私钥甚至是企业 / 机构的商业合同等。严格来说此次问题并非安全漏洞而是沉浸式翻译提供的功能存在缺陷，即没有对快照链接进行保护导致搜索引擎爬虫可以直接抓取内容并将其防止互联网上公开索引。

注：以上索引链接已经无法访问，但泄露的数据库仍然可以提取数据

事件发生原因：

对于沉浸式翻译用户，该扩展程序提供将翻译后的网页或 PDF 文件生成快照，生成快照后同时还会生成共享链接用于将链接分享给其他用户。

沉浸式翻译显然也高估了用户的专业程度，部分用户使用沉浸式翻译对敏感内容进行翻译并且还生成快照，这里面就存在两种安全方面的问题。

第一是除了本地翻译模型外，使用任何第三方模型时都需要将数据发送给第三方进行翻译，因此敏感内容使用沉浸式翻译或者其他翻译服务都可能导致数据泄露，尤其是使用 AI 翻译时数据可能会被 AI 模型提供商拿去训练数据，这将严重危害用户的数据安全。

第二是沉浸式翻译提供的快照功能会直接将翻译后的内容暴露在互联网上，以商业合同为例，合同内可能包含大量的商业机密，用户使用沉浸式翻译搭配 AI 服务时不仅会将商业机密泄露给 AI 模型提供商，还会导致完整的商业合同直接暴露到互联网上。

沉浸式翻译的问题在哪：

沉浸式翻译提供的快照功能存在缺陷，即没有做好必要的安全措施对内容进行保护，导致搜索引擎可以直接抓取内容以至于引起大量的用户数据泄露。

同时沉浸式翻译没有做好必要的提醒，提醒用户对于敏感内容不要生成快照以免出现数据泄露，这个问题其实和 OpenAI 早前在 ChatGPT 里增加对话共享的搜索引擎抓取本质是相同的问题。

未来沉浸式翻译或许可以考虑参考诸如百度网盘等强制分享时设置密码，只有同时拿到链接和密码的用户才能访问内容，这样既可以避免搜索引擎抓取，也可以避免其他专业的机器人进行抓取。

数据已经在网上流传：

另外需要强调的是目前网上已经流传名为 readit.site.tar.zst 的 559.6MB 文件，这份文件里包含的全部是沉浸式翻译 readit.plus 里生成的快照，其中包含大量的敏感内容。

对于曾经使用过沉浸式翻译快照功能的用户建议仔细想想自己是否使用过快照功能以及是否存在数据泄露的可能性，目前没有彻底的补救方法，数据一旦公布到互联网上就不可能被永久清除。