官方签名的正版插件 ModHeader,被扒出偷偷记录你逛过的网站后排吃瓜课代表2026 年 7 月 12 日 · 课代表说 AI每日 AI 速报📝今天这几条ModHeader 这款 160 万人在用的请求头编辑插件,7 月 3 日被 Edge 下架,Chrome 随后标成恶意软件——代码里藏着一段收集访问域名的间谍程序。今早 AI 圈另外三条也不闲着,一并说了。ModHeader 藏间谍代码🕒 持续发酵(7 月 10-11 日集中曝光)我刷到一条插件圈的大瓜:HTTP 请求头编辑插件 ModHeader 在 Chrome、Edge 两端合计 160 万装机(威胁情报平台 OffSeq 统计),7 月 3 日先被 Edge 下架,Chrome 随后也把它标成恶意软件。安全机构 HackIndex 拆开 Chrome 版官方签名代码,发现里面藏着一段伪装成日期库 dayjs 的间谍代码,专门把你访问过的网站域名加密后回传到一台假冒“斯坦福研究”的服务器,代码里还留着中文字符和飞书邮箱的痕迹(Edge 版是否携带同一段代码,目前没有独立拆解证实)。via 安全研究机构 HackIndex💬 课代表好用到舍不得删的插件,风险往往也最大。GPT-Live 全量开放🕒 昨天(7 月 11 日官方确认全量开放)接着 7 月 9 日讲过的 GPT-Live 首发说:这个全双工语音功能昨天正式面向全球所有 ChatGPT 用户(含免费用户)铺开,还把整个周末的语音额度翻了一倍,免费用户不用再为这个单独充值。底层换成了 GPT-5.5,边听边说、能被随时打断,还能被指派去联网搜索或深度推理。via OpenAI 员工 Atty Eleti💬 课代表语音助手做成这样,Siri 听了想沉默。百度搭子提问涨 20 倍🕒 前天(7 月 10 日百度 AI DAY 现场发布)今晨刷到,百度在 AI DAY 上公布,旗下通用智能体百度搭子上线以来日均提问次数暴涨 20 倍,是增速最快的国产通用智能体。当天个人版同步升级了浏览器自动操作、PPT 生成、自媒体套件等功能,国内用户不用等海外账号就能直接用。via 量子位💬 课代表20 倍提问量说明大家是真拿它当工具用,不是图新鲜。AI 唱中文歌不难听了🕒 前天(7 月 10 日量子位报道)我刷到国内团队歌歌 AI 从零预训练了一个十亿参数的端到端音乐生成模型,专攻解决 AI 唱中文歌的机翻感问题(声调、字音对齐、情感表达都跟英语逻辑不一样),还和字节跳动签了版权分成合作,生成的原创歌曲能合规上架抖音、剪映、汽水音乐,创作者能直接拿去做视频配乐分成变现。via 量子位💬 课代表别的 AI 音乐工具还在纠结好不好听,这家已经在想怎么让你我用它挣钱了。🔍 今日最值得说 · ModHeader 插件间谍代码事件「ModHeader 这事,高权限插件都欠你一次自查。」我自己写前端和爬虫时,Chrome 里常年挂着两三个改 Header 的插件,ModHeader 就是其中一个——改 User-Agent、加自定义 Cookie、绕跨域,全靠它。看到这条我第一反应是我电脑里那几个还在不在。算笔账:光 Chrome 版就 90 万装机,安全机构 HackIndex 逐行拆过代码,证实间谍逻辑确实塞在里面,理论上这 90 万台电脑的访问域名都在射程里;Edge 版还有 70 万装机,虽然也被下架,但没人拆过代码,只能算存疑。取证说数据没真外传,休眠靠的是一份空白名单,像是还没来得及开,不是设计上不能开。真正让我不安的是信任链问题:ModHeader 是官方商店签过名的正版插件,不是山寨仿冒,间谍代码是塞进一次正常更新里的。用户能审权限清单,审不了代码,装了就是把浏览器流量交给开发者的良心。受影响的基本是前端、爬虫、接口调试这批开发者,今天该打开扩展页看权限。普通用户基本用不上这类工具,可以划走。我打算先把自己那几个同类插件的权限清单过一遍,能砍的砍。建议爱装改 Header 类插件的开发者,今天就打开扩展页把权限清单过一遍。今天四条里,插件圈这条最扎心。ModHeader 的间谍代码眼下被一份空白名单挡着,谁也不敢保证下个版本会不会悄悄打开。我打算今晚把自己装的同类插件权限翻一遍,你敢现在就打开扩展页看看吗?📌 往期回顾还没看过这篇?👉 装不上浏览器插件?看这一篇就够了同学你的插件掉了课代表 · 帮你看 AI 圈和插件圈关注同学你的插件掉了 · 课代表说 AI长按识别 · 关注同学你的插件掉了