这是一个创建于 171 天前的主题,其中的信息可能已经有所发展或是发生改变。
起因是无意中看到「沉浸式翻译」中有这么一个云服务同步功能,但是并没有提供开关选项:
然后抓包发现,沉浸式翻译强制会收集所有用户大模型服务和翻译服务的 token ,同步至他们的服务器,我的所有 token 都被收集了。
具体 api 网址为: https://api2.immersivetranslate.com/v1/user/settings
个人理解,虽然沉浸式翻译提供了许多免费功能,但本质上是一款商业软件。用户的 token 作为一项很隐私的数据,未经允许就会全部上传至自己的服务器,存在滥用以及被盗用的风险。这合理吗?
然后抓包发现,沉浸式翻译强制会收集所有用户大模型服务和翻译服务的 token ,同步至他们的服务器,我的所有 token 都被收集了。
具体 api 网址为: https://api2.immersivetranslate.com/v1/user/settings
个人理解,虽然沉浸式翻译提供了许多免费功能,但本质上是一款商业软件。用户的 token 作为一项很隐私的数据,未经允许就会全部上传至自己的服务器,存在滥用以及被盗用的风险。这合理吗?
第 1 条附言 · 171 天前
见楼下评论:
62 楼
---
收集用户的 token 令牌並不合理,理应提供开关选项,同步时先由用户定义访问金钥,在客戶端加密后才上传。
许多 token 令牌並不只是具备翻译作用,还具备帳戶控制、账单检阅、翻译记录等隠私。
假如 OPENAI 的 token 泄漏,最大的危机並不是账单问题,而是透过 API 查看历史记录中包含的公司、代码信息。
65 楼
----
阿里云的 Key 都直接收集也是够猛,如果是主账号的密钥,能直接白嫖你阿里云买各种服务器等产品
62 楼
---
收集用户的 token 令牌並不合理,理应提供开关选项,同步时先由用户定义访问金钥,在客戶端加密后才上传。
许多 token 令牌並不只是具备翻译作用,还具备帳戶控制、账单检阅、翻译记录等隠私。
假如 OPENAI 的 token 泄漏,最大的危机並不是账单问题,而是透过 API 查看历史记录中包含的公司、代码信息。
65 楼
----
阿里云的 Key 都直接收集也是够猛,如果是主账号的密钥,能直接白嫖你阿里云买各种服务器等产品
第 2 条附言 · 171 天前
⭐️关于「沉浸式翻译」作者的回复,大家可以参见 87 楼
109 条回复 • 2024-05-28 14:39:23 +08:00
 |
1
angry41 171 天前  1
不合理,未通知未授权就同步就是不合理不合法的
|
 |
2
thinkm 171 天前 2
是我就加个密再上传,抓包也不知道收集的是什么
|
 |
3
choah 171 天前
我没有这个同步的界面,是不是因为我没登录的问题?
|
 |
4
fusi 171 天前
不登陆就不会有这个选项
虽然想要同步肯定要把你的 token 上传到云端,但是确实应该提供一个开关 |
 |
5
EJW 171 天前
我没登录,就没有这个选项
|
 |
6
0o0O0o0O0o 171 天前 7
不合理,另外推荐 @fishjar 的 https://github.com/fishjar/kiss-translator
|
 |
7
NeverBB 171 天前 via Android
这是要一鱼多吃嘛
|
 |
8
drymonfidelia 171 天前 via iPhone 1
这扩展推广手段也有够流氓的,我关注的好几个日本画师无关推特下都有他们广告
|
 |
9
SingeeKing 171 天前
同步不是付费用户的功能吗,免费用户也能用?
|
 |
10
crocoBaby 171 天前
换一个翻译,不要让他一家独大,垄断就乱来
|
 |
11
ThinkStu OP @SingeeKing #9 目前来看,只要登录了就会同步
|
|
12
drymonfidelia 171 天前 via iPhone 3
@drymonfidelia 这扩展推广手段也有够流氓的,我关注的好几个日本画师无关推特下都有他们广告。推特 Latest 搜 immersive translate 全是他们的 SPAM 账号,复制粘贴一样的文案回复在推特底下,只要推特出现关键词 translate/translation 就有可能被他们回复 SPAM ,即使内容完全无关。我刚举报 ban 掉一个,又换一个。
|
 |
13
gechang 171 天前
我没有登录账号,我也没有填 token ,用自带的翻译,能用就行懒得配置
|
 |
14
HUZHUANGZHUANG 171 天前
很简单,去淘宝买个 DEEPL 的免费 KEY,作为翻译主力不就可以了嘛
|
 |
15
864766428 171 天前 via iPhone 1
之前爆出收集隐私信息和国内某企业有合作的时候就弃用了,现在用 kiss translate
|
 |
16
body007 171 天前 1
可以了解下 沉浸式翻译 的开源历史,反正我是看到这个 /t/969318 后不用的。我现在只用 chrome 自带的右键翻译,没有双语显示确实麻烦,不过我也懒得折腾了。
|
|
17
ThinkStu OP 6
@HUZHUANGZHUANG #14 老哥,问题是他们会收集所有的用户 token ,而不是我应不应该去淘宝买免费的 DEEPL KEY
|
|
18
drymonfidelia 171 天前 via iPhone 7
建议大家都去 report abuse 到他下架,未经同意收集 token 肯定是违反 ToS 的
|
 |
19
x86 171 天前
如果 key 不能同步,那还叫啥同步
|
 |
20
zhaotianxionkm 171 天前
@x86 首先应该通知和授权,第二可以加盐,但是它连盐都没加。
|
|
22
drymonfidelia 171 天前 via iPhone
@x86 不是说不能同步,关键是“未经同意”
|
 |
23
cat9life 171 天前
@0o0O0o0O0o #6 好评
|
 |
24
jspatrick 171 天前
同步一样有很多方案的,类似的通过 gist 或者 webdav 也能完成同步,还不会涉及隐私问题
|
 |
25
xmumiffy 171 天前 via Android
@zhaotianxionkm 加盐是什么鬼
|
|
26
HUZHUANGZHUANG 171 天前 1
@ThinkStu #17 我想表达的是:
1 、DEEPL 免费容量 KEY 在淘宝上很便宜( 10 元左右),每月 50 万字符的免费额度,基本够用,即便 key 被盗用,可以让你的损失没有那么大。 2 、OPAI KEY 我也在用,先进的模型调用一次我觉得还是比较贵的。所以 DEEPL 免费容量 KEY 作为替换,无论成本还是损失上都可以接受。 3 、他们这个插件的这些操作是你可以控制的吗?不能控制的事情,纠结起来也没有意义,只能改变自己来降低风险。 4 、你说了“目前来看,只要登录了就会同步” ,所以放弃登陆,然后删除之前的 OPEN AI KEY.基本就避免可 key 被盗用问题对吧? 5 、DEEPL 是做专注于翻译的,说是世界上最准的翻译工具。翻译功底上定比 OPEN AI 翻译来好一些。因为术业有专攻嘛 |
|
27
zhaotianxionkm 171 天前 via iPhone
@xmumiffy 考虑错了,密码应该加盐,秘钥不用。
|
 |
29
justsomac 171 天前 1
@HUZHUANGZHUANG #26 你回复的都对,但对 OP 来说是牛头不对马嘴
|
 |
30
BeijingBaby 171 天前
pcdn 模式?
|
|
31
HUZHUANGZHUANG 171 天前 2
@justsomac #29 嗯,我更想表达的是:你控制不了的事情,讨论起来也没有意义。只能改变自己。
|
 |
32
EyebrowsWhite 171 天前
作为一个商业产品来说,真的太粗糙了
|
 |
33
iold 171 天前
已经切换到 cici ,翻译,总结,搜索
|
 |
34
yangzzzzzz 171 天前
mac 一直用 bob
|
 |
35
raptor 171 天前
这软件出的问题真不是一般的多啊……隔三叉五就看到曝料这个问题那个问题,而且也不止是在 V 站看到,反正我是不敢用。
|
 |
36
lambdaq 171 天前
不是哥们,这功能的作用是「在不同设备之间同步配置」,你的 token 还要不要同步呢?
|
 |
38
Creamliu 171 天前
@0o0O0o0O0o #6 两周前看推上有人推荐就转这个了,这个还开源。
|
 |
40
iyiluo 171 天前
不通知用户,这在欧盟那边犯法了吧?现在网站使用 cookie 都要弹个窗,使用秘钥肯定也要先通知
|
 |
41
czfy 171 天前 31
|
 |
42
Y25tIGxpdmlk 171 天前
同步配置不同步这些 key ,那还同步个鸡儿啊?
只能说没有明显提示你,做的不到位。 但是要说他强制收集你的 key ,我认为还是没必要被害妄想症。 虽然这个插件我觉得不咋好用,我平时都是禁用状态。我更喜欢用“划词翻译” 话说为啥我的设置里只有一个同步到 google ,没有同步到作者服务器的功能。 |
|
43
Y25tIGxpdmlk 171 天前
@czfy #41 哈哈哈哈,那就说得通了
|
 |
44
JeffersonHuang 171 天前 1
|
|
45
Y25tIGxpdmlk 171 天前
|
|
46
ThinkStu OP 7
|
|
47
Y25tIGxpdmlk 171 天前 1
@ThinkStu #46 哎,瓜田李下的典故要懂。
有些事可以质疑,但是要避嫌。 |
 |
48
ludwiz 171 天前 1
|
 |
49
SayHelloHi 171 天前
KISS Translator +1
|
 |
51
Yukineko 171 天前 1
@HUZHUANGZHUANG #31 通过楼主的帖子,大多数用户选择抵制沉浸式翻译选用其他产品,以促使他们进行改进。这算不算也是一种控制呢?
|
 |
53
GoldenDictOCR 171 天前
相互促进,协助成长
|
 |
54
ajinwu 171 天前
有没有可能是你启动了云端同步的功能
 |
|
56
ajinwu 171 天前
|
 |
57
ztmzzz 171 天前
这些 key 不都是你自己填在沉浸式翻译的设置里的么,同步配置没毛病啊。顶多是没告知未端到端加密。
|
|
58
HUZHUANGZHUANG 171 天前
@Yukineko #51 我问你几个问题:
1 、你知道这个插件有多少用户吗? 2 、你知道使用 OPEN AI 进行翻译的有多少用户吗?这些用户中像楼主这样在意这问题的又有多少用户吗? 我想表达的是:讨论这个问题,不能撇开用户基数和比例来谈。不清楚数据的情况下,你怎么能说“大多数用户选择抵制沉浸式翻译选用其他产品,以促使他们进行改进”?人家直接放弃楼主这类用户,他们又能怎么样?不能怎么样 你可以去官网看看用户协议里的:“Changes to These Terms and Conditions”,楼主觉得有问题,那人家改一下用户协议嘛。 3 、这插件官网提供了多种渠道:邮件、微信、QQ 、公众号、github 来反馈问题,他为什么不先去反馈一下,看看啥情况,然后再来发帖?多半是他没去做。 4 、“您可以随时通过联系我们 [email protected] 来请求删除您的数据。您应该明白,一旦删除您的账户,您将失去访问或使用沉浸式翻译全部或部分的权利。” 他为啥不发邮件进行数据删除? 另外:大多数登录功能,基本就是为了存储和同步数据做的准备。如果他们这个功能,仅仅是获取一个用户帐号。在另一台电脑上登录后,还要重新手动配置一下。会不会又有人发帖:说这个插件的登录功能是个鸡肋,每次都要重新配置? 所以,楼主一开始直接通过上面的反馈渠道,问清楚这个问题,觉得不满意,那就直接通过邮件要求删除数据,这事就完了,这个帖子其实没啥意义。 |
|
59
0o0O0o0O0o 171 天前
@HUZHUANGZHUANG #58
> 他为什么不先去反馈一下,看看啥情况,然后再来发帖? > 他为啥不发邮件进行数据删除? 这又不是公开了就可能被第三方利用的安全漏洞,我觉得他并没有通过官方给出的反馈渠道来联系的必要。 > 觉得不满意,那就直接通过邮件要求删除数据,这事就完了,这个帖子其实没啥意义 另外这个插件在被收购、闭源、商业化之前有 fork 和开源经历,在本站也有过争议 /t/961178 ,它的用户里可能还有认为它是开源而信任它使用它的(我不想在这里辩论这种信任是否合理,但很多人对开源软件的信任就是存在)。OP 在这个相对来说更着眼技术也更在意隐私的社区提出来有什么不合适的?为什么删除了就完了,就不能是对一个有相当用户量的产品对于隐私的不重视的批评吗?你强调了三次没意义,但在我看来这么多条回复里还是有不少人觉得有意义的。 |
|
60
ThinkStu OP 4
@HUZHUANGZHUANG #58
1 、老哥,你争论的问题方向已经变了。我的核心是指沉浸式翻译收集用户的 token ,没有经过用户同意、也没有提供关闭的选项,而且在做法上存在一定的安全风险。 2 、我可以在任何地方反馈,包括 V2EX ,因为这是一个技术论坛。为什么你不先私下问问我是什么情况,再回复呢? |
 |
61
wsyzzz 171 天前
感谢,已经换成楼上推荐的 kiss-t 了,顺便贴一个自定义样式供参考,字体可以换成自己喜欢的
``` font-family: "LXGW WenKai GB Screen R", Robot, SimSun, sans-serif; font-size: 16px; line-height: 1.6; letter-spacing: 1px; rgb(124, 204, 156); color: rgb(0,0, 0); /*下划线*/ text-decoration-line: underline; text-decoration-style: dotted; text-decoration-color: #ff374f; text-decoration-thickness: 2px; text-underline-offset: 0.3em; -webkit-text-decoration-line: underline; -webkit-text-decoration-style: dotted; -webkit-text-decoration-color: #ff374f; -webkit-text-decoration-thickness: 2px; -webkit-text-underline-offset: 0.3em; ``` |
 |
62
22092 171 天前 1
收集用户的 token 令牌並不合理,理应提供开关选项,同步时先由用户定义访问金钥,在客戶端加密后才上传。
许多 token 令牌並不只是具备翻译作用,还具备帳戶控制、账单检阅、翻译记录等隠私。 假如 OPENAI 的 token 泄漏,最大的危机並不是账单问题,而是透过 API 查看历史记录中包含的公司、代码信息。 |
 |
63
chanChristin 171 天前
@HUZHUANGZHUANG #54
官方做法不合理那用户就一句话都不能讲自己去找解决方案? |
 |
64
z1829909 171 天前
本地起一个 http 代理到大模型的 endpoint, 然后翻译软件中的密钥配置为 127.0.0.1 + 代理服务自定义的密钥
|
 |
65
yuzo555 171 天前
阿里云的 Key 都直接收集也是够猛,如果是主账号的密钥,能直接白嫖你阿里云买各种服务器等产品
|
|
66
22092 171 天前 1
> 觉得不满意,那就直接通过邮件要求删除数据,这事就完了,这个帖子其实没啥意义
要求删除数据並不是完全删除,也不会是立即刪除,基於法律在刪除后仍需保留一段時間。其次,已备份的数据並不会再修正,所以仍会。你的数据公开了就不要想著收回来,要求删除数据只是掩耳盗铃 |
|
67
z1829909 171 天前
@HUZHUANGZHUANG "讨论问题不能撇开用户基数来谈" 和 "这个帖子其实没啥意义" 这俩好像矛盾哦, 你统计过这个帖子有多少人看, 对多少人有帮助吗, 我就很在意这个问题, 不光是密钥, 翻译的敏感数据也是个问题.
或者用你的话来说, 你觉得这个帖子没意义, 为啥不 ban 了楼主, 或者关掉, 而是选择了写一段这么长的话来表达自己观点,而不是去改变自己, 这有"意义"吗 |
 |
68
SkywalkerJi 171 天前 1
这个感觉铁定违反 chrome 商店协议了吧。
看了下背后的商业公司也是国内的。这一堆人拿着翻译 twitter 和 reddit ,搜集到的内容很可能就同步给国安了。 |
 |
69
9i5NngJHI4P7dm42 171 天前 1
具有中国特色的商业软件
|
 |
70
meeop 171 天前
天下乌鸦一般黑,这些云服务有一个算一个都会收集用户信息的,数据就是未来互联网公司最重要的资产,怎么可能不收集
你能做的只是找一个保护用户隐私比较好的服务 |
 |
71
Mjhhh 171 天前
我改用 划词翻译 了
|
 |
72
Dk2014 171 天前
|
 |
73
yelc668 171 天前
不知道呢,我用的白嫖的
|
 |
74
ahjsrhj 171 天前
@HUZHUANGZHUANG #31 讨论起来为什么没有意义?
|
 |
75
v23xowen 171 天前
kiss Translator 启动
|
 |
77
zbowen66 171 天前
@zbowen66 #76 而且我的 Key 是在本机 nginx 里加上的,软件里面就不填或瞎填 key ,地址指向 nginx
proxy_set_header Authorization "Bearer xxx" |
 |
78
hafuhafu 171 天前
感谢告知,不用沉浸式翻译了。
|
 |
79
INTOX8O 171 天前 1
在用 monica 的对照翻译感觉挺不错的,永久的 3.5
|
 |
80
potatouu 171 天前 via iPhone
kiss translator 启动+1
|
|
81
HUZHUANGZHUANG 171 天前
@ahjsrhj #74 因为楼主担心的风险(key 存在滥用以及被盗用的风险),我前面已经给出解决方案,也就是有方法来避免的。
如何讨论起来有意义:发帖前找官方对线,如果官方回答不满意,然后再来这里讨论。如果官方回答让他满意,他也可以发出来问问大伙他们操作有没有问题。截止到目前回复你,我没看到他贴出和官方交流的结果。 每个人都是自己的第一责任人,我们不应该寄希望于外界的改变来满足自己的要求,在外界没改变之前可以改变自己来降低自己的风险。 |
 |
82
lzd123 171 天前 via iPhone 1
@HUZHUANGZHUANG 我觉得楼主反应出这个事价值很大,因为确实存在这件事不合理且很重要,同时我平时没有注意到,那么我就会注意数据安全这块问题!不能说不反馈就讨论就没有意义!
|
|
83
HUZHUANGZHUANG 171 天前
@ThinkStu #60 第一、我承认你说的这类风险存在,但在前面的回复中,你担心的风险是可以通过个人操作避免的。
第二、你确实可以在任何地方反馈这个问题,包括 V2EX 。但是在这类非官方渠道反馈并不有助于快速解决你的问题。 第三、你可以把你官方渠道的反馈结果贴出来给大家看看,这样才能让大家看清楚他们的态度,大家更在意的是官方怎么解释你提出的问题嘛。 |
 |
84
haha1903 171 天前
第一反应是 access token ,看完才知道是 api key 。。。。。。
感受上是你自己的选择,如果在勾选的时候,给更明确的提示,我觉得也没什么问题。 |
 |
85
jiezaichan 171 天前 2
@HUZHUANGZHUANG #81 讨论上传 token 、你非来一个其他话题来搅混水干嘛呢 哥
|
 |
86
stardust21 171 天前 4
@czfy 论迹不论心
|
 |
87
theowenyoung 171 天前 11
大家好,我是沉浸式翻译的作者。
很抱歉由于软件的问题给大家带来困扰,我们调查了楼主提到的问题,发现这里叠加了 2 个界面显示的 Bug ,但插件本身的云同步逻辑并没有 Bug ,插件并不会自动同步普通注册用户的任何设置(包括 Token ),以下是详细说明: 1. [多设备云同步] 是沉浸式翻译 Pro 会员的一个 Feature ,Pro 会员可以在设置界面启用或者关闭该功能,对于普通注册用户,沉浸式翻译并不会同步这些用户的任何设置,也不应有权限使用此功能。但这里针对普通注册的用户,有一个界面显示的 Bug ,他们本应看到 [您需要成为 Pro 会员才能启用云同步功能] 的提示,但当前版本没有显示该提示。并且,普通注册用户主动点击 [同步] 按钮时,界面上并未弹窗阻塞该流程。 2. 我们又排查代码逻辑发现,沉浸式翻译在刚推出登录功能( 2023.8.13-2023.8.19 )那一周注册的普通用户,也拥有 [多设备云同步] 的会员权益,这是因为当时在调整会员权益时,为了不影响老用户的权益,做的兼容处理。 总结就是,如果您是普通注册用户,或者您从未登录过沉浸式翻译,那么您的设置没有,也永远不会被自动同步到沉浸式翻译的服务器中。  因此,我们主要的修复策略是将该功能限定为 [仅 Pro 会员] 可用。在下一版本中,我们将进行以下优化: 1. 当普通注册用户主动点击同步时,插件将弹窗告知用户 [仅 Pro 会员才能使用此功能] (将在下个版本 1.5.6 生效)。 2. 新增 [是否要同步自定义 Token] 的独立选项,Pro 会员可自助设置是否要同步自定义 Token.(将在下个版本 1.5.6 生效) 3. 为了避免逻辑混乱,上述 2 中提及的少数早期注册用户,将视为普通注册用户,不再享有特殊权益。 4. 对于不应拥有此权益的少数用户(如主动点击过 [同步] 按钮的普通注册用户),我们已在服务端主动清空了这些用户的插件设置数据,立即生效。 下面是待提审的设置页面截图:  希望上述说明可以解除您的疑惑。沉浸式翻译目前还是一个非常小的团队,因此不可避免的会存在一些 Bug ,但是我可以保证这些 Bug 并不是有意的,并且我们依然在不断的改进沉浸式翻译插件的性能和功能,希望您能理解。 最后,真的很抱歉由于软件问题给大家带来的困扰。 如果您是注册用户,并且想完全删除您的数据,您可直接联系客服邮箱 [email protected] 提出删除请求即可。 |
 |
88
Ashkin 171 天前
果然全球工单系统
|
|
89
ThinkStu OP @theowenyoung #87 感谢作者回复。希望可以为老用户提供关闭功能,或者将此开关功能向所有人开放,让大家做决定。
|
|
90
theowenyoung 171 天前
@ThinkStu
您可以看下上面的第 4 点,对于不拥有此权益的老用户,服务端已清空了这些用户的插件设置数据,后续也不会再有任何地方能绕过限制主动同步。 而拥有此权益的会员用户,一直都有开关可以决定~ 下个版本额外再加一个敏感信息的单独开关。 |
 |
91
jianchang512 171 天前 2
58 楼的意思如下:为什么不报官,却直接造反。
---- 非安全漏洞,可能认为是设计缺陷或者无意为之,发到社区讨论讨论有什么值得指责的 再说发 v2 比直接发官方解决效率更高 ---- https://imgur.com/1jWZs17 https://imgur.com/pADgPrB |
|
92
ThinkStu OP 1
@theowenyoung #90 抱歉,太长了刚才看到。不过,如果我伤害了用户,我不会对用户说:“好吧,现在如你所愿,我即将制裁你们”。我本人并不希望将一些数据上传至其他地方,但是其他用户的权益也不应该因此受到影响。
|
 |
93
JustSong 170 天前
稍微跑个题,One API 支持对令牌设置 IP 限制,即使泄露了也无妨,同时 One API 目前也支持 DeepL 的模型: https://github.com/songquanpeng/one-api
|
 |
95
whileFalse 170 天前 via Android
@zhaotianxionkm 你先了解下加盐是干什么用的
|
|
96
theowenyoung 170 天前
|
 |
97
icaolei 170 天前
|
 |
98
WizardLeo 170 天前
@theowenyoung 我觉得 op 指的应该是那小部分早期用户本来能享受到 pro 的待遇,现在却因为 op 指出了这个问题而失去了权益
|
 |
99
my3157 170 天前 via Android
我用的还是很早很早之前的完全免费的 Bob ,完全没有升级的欲望
|
|
100
theowenyoung 170 天前
@WizardLeo 谢谢。 说实话,我们自己已经忘记了这个特殊逻辑存在。保留类似的特殊逻辑对我们的维护要求会比较高,更容易让我们在实现各种特性的时候考虑不周导致类似的误解。
另外就是,我们还提供了通过 Google Drive 进行同步的方式,所有用户都可以用 Google Drive 来同步设置。 |
Select Language