谷歌7月初向Chrome扩展开发者投下一枚重磅炸弹:所有在Chrome Web Store上架的扩展程序,必须在一个月内完成隐私安全合规整改,8月1日起仍未达标的扩展将被直接下架。
这不是一次例行更新,而是Chrome扩展生态近年来最严厉的一次规则重塑。
数据收集:够用就行
新规的核心矛头指向扩展的数据收集行为。谷歌明确要求,扩展只能收集与其功能运行所必需的信息。一个天气查询扩展没有理由读取通讯录,一个计算器不应该索取浏览历史。任何与核心功能无直接关联的数据采集,都将被认定为违反政策。
透明度:再小的数据也要说清楚
谷歌同时将透明度要求推到前所未有的高度。即便是开发者认为”较小”的数据类型,也必须在Chrome Web Store中做出明确说明。更关键的是,谷歌封堵了一条常见的灰色路径——开发者不得在安装后通过版本更新悄然改变数据收集做法。每次涉及数据收集方式的变更,都需要重新走隐私披露流程。

AI红线:禁止绕过安全防护
此次最引人注目的新增条款,是针对AI平台的专项保护。谷歌首次明确禁止”专门用于绕过AI平台安全保护、使用限制或其他防护措施”的扩展。
随着ChatGPT、Claude、Gemini等AI服务成为日常生产力工具,市面上出现了大量试图”解锁”AI限制的扩展——绕过内容检测机制、突破对话次数上限、篡改提示词过滤规则。谷歌将这些行为纳入禁止范围,释放了清晰信号:AI平台的安全防护不是可以随意绕过的路障。
为什么是现在?
谷歌此时集中发力并非偶然。据安全研究机构LayerX Security近期调查,他们对6666个Chrome扩展隐私政策进行系统审查,发现至少82个扩展的隐私政策中明确包含允许出售或商业化转让用户数据的条款,其中75个仍在Chrome Web Store正常运营,总用户规模超过550万。
更触目惊心的是,约71%的Chrome扩展压根没有发布隐私政策。连这份基础文件都缺失的扩展,其数据处理行为的不透明程度可想而知。

结合Manifest V2全面退役的推进,谷歌正在同时完成两条线的收束:技术架构升级换代和数据政策全面收紧。两条线的终点指向同一个目标——重建Chrome扩展生态的安全秩序。
对用户和开发者的影响
普通用户将在8月之后感受到变化:安装新扩展时,能更清晰地看到它到底收集了什么数据。短期内可能经历一波”工具荒”——部分靠出售用户数据存活的”免费”扩展会突然消失。
对开发者而言,这一个月的整改期是最后窗口。他们必须重新审视数据收集范围,更新隐私政策文档,确保每项数据访问都有对应的功能需求支撑。特别是涉及AI服务的扩展开发者,产品逻辑可能需要根本性调整。
浏览器扩展生态的”野蛮生长”时代正在终结。8月1日是分水岭,跨过去的继续服务用户,跨不过去的只能被淘汰。




