Terms and Conditions 包含了无退款政策，产品使用第三方服务且不承担使用这些服务导致损失的责任，其他免责款项如：
> We strongly advise You to read the terms and conditions and privacy policies of any third-party web sites or services that You visit.
> If You are a European Union consumer, you will benefit from any mandatory provisions of the law of the country in which you are resident in.

另外，下附两份链接，Terms and Conditions 居然是不一样的。en/docs 版在条款段落大于一句时，会将最后一句重复一遍（如图二）。Terms and Conditions 是 Generator 辅助生成的，没有 review 过英文版页面（右上角切换语言），可能也真的没有多少英文使用者。

https://immersivetranslate.com/docs/TERMS/
https://immersivetranslate.com/en/docs/TERMS/

我原帖提及的价格及问答页面未附链接，原来在「沉浸式翻译」主页各位置是找不到超链接的。下载插件后在设置中点击 Pro 才会看到，个人觉得也很有误导性（促进下载量）。

https://immersivetranslate.com/pricing/

臉 · Apr 13, 2024, 19:10

臉 boosted

**毛茸茸生长** @[email protected] · Apr 13, 2024, 19:10

Apr 13, 2024, 19:10

毛茸茸生长 @[email protected]

@province @board
将沉浸式翻译的 Chrome crx 文件下载下来简单研究了一下。

作为一个有一定浏览器插件开发经验的开发者，我可以明确的说「沉浸式翻译」《隐私协议》中关于「Safari 扩展的权限说明」一节完全是在胡说八道。

下面是对其的逐条批驳：

> 这是一个通用的提示, Safari 所有的扩展都会展示该提示，这是苹果公司的对极端情况下的安全提示，是针对那些不可信任的软件。

什么是不可信任的软件，你这个插件就是不可信任的软件。
我的 Firefox 浏览器现在基本上只使用带 Recommended Extensions 标记的插件，Recommended Extensions 的源码是被 Firefox 团队审计过的，可以保证安全可信。
少数不带 Recommended Extensions 标记的插件，也都是开源自由软件，我可以浏览源码，达到心中有数的。

> 仔细看权限提示的文字，“可以读取和修改...当前标签页...”。如果你只是在浏览信息，网页中没有任何关于你的信息，这种情况你不会有任何安全问题，因为就算扩展读取了整个页面的内容，但这些内容全是公开的。

这条更为可笑。
什么叫『没有任何你的信息』、『这些内容全是公开的』？
各个网站登录后页面也算是没有任何你的信息？也算是全是公开的吗？
明显不是。

结合隐私协议中「沉浸式翻译」对公共页面的表述，再联想到它在Q&A中所说的所谓的「预缓存热门公共网页的技术」（图四），这让我很容易想到我登录后的私人页面是不是也会被这种所谓的「预缓存热门公共网页的技术」上传到「沉浸式翻译」插件运营方那里，然后被缓存下来。

> 重点是：并不是你授权了，你的密码，手机号码，银行卡号就被拿走。

天大的慌言。
事实上就是你授权了，你的密码，手机号码，银行卡号就有可能被拿走。

https://developer.mozilla.org/zh-CN/docs/Web/Security/Types_of_attacks

不知道你有没有听过跨站脚本（XSS）攻击，XSS 本质上讲不就是运行了不可信的 javascript 代码吗？
XSS 通过网站漏洞达到这一点，浏览器插件通过浏览器插件API达到这一点。
XSS 可以干的事情，浏览器插件可以干的事情能干的事情只会更多更顺利。

而且不同于XSS，通过浏览器插件，想要进行跨站请求伪造（CSRF）攻击也是很简单的。

另外，注意到该插件还请求了 webRequest 权限，那么想进行中间人（MitM）攻击也是具有条件的。

> 沉浸式翻译也公开承诺不会收集用户的任何隐私和敏感信息。

隐私条款，与其说是保护用户隐私的庄严承诺，倒不如说是侵犯用户隐私的借口。
先不是这只是一句空口白牙的承诺，没有写到合同里。
就算是写到了合同中，以中国大陆的法治状况，如果沉浸式翻译违约，即使你抓到切实证据了，你也很难与它打官司寻求赔偿。

-------------------------

下面是题外话，我注意到「沉浸式翻译」申请了 activeTab 权限的同时，还是在 host_permissions 中申请了 <all_urls> 的权限。这让我有一点好奇，按理而言，activeTab 对于「沉浸式翻译」的场景应该已经够用了呀。

简单读了一读，倒是找到了原因，需要 <all_urls> host_permissions 权限的一大原因是：要为每个页面注入 content_start.js、content_script.js 这两个脚本。

content_start.js 会在 document_start 时注入，然后尽早加载 video-subtitle/inject.js 劫持部分浏览器 API （比如说 JSON、XMLHttpRequest）。

臉 @[email protected] · Apr 13, 2024, 16:11

臉 @[email protected] · Apr 13, 2024, 16:11

Apr 13, 2024, 16:11

臉 @[email protected]

不知道有没有人提过「沉浸式翻译」的隐私问题。

去年有关于「沉浸式翻译」的「假开源」的讨论[1][2]，开发者也做过一些解释（详见链接）。就我而言，当初是在 Mastodon 上看到转发的嘟文获知的，嘟文里就写着开源——那个时间点插件其实已经是闭源了。撇去旧事，「沉浸式翻译」已走向商业化道路，如今其 GitHub 页面想必应该不至混淆。

最近在试用「沉浸式翻译」过程中（隔了一年才用），看到它的付费服务页面，尽管也能理解商业行销模式，但看到「仅限前1000名」「仅限前500名」的长期促销，还以为进入了冒名网站。另外，它的连续包月 ¥69/月的 OpenAI 提供的 API 是 3.5 的。

插件网站经过了国内备案。《隐私协议》[3]也写了「我们不会将您的个人数据与第三方销售商或合作伙伴共享，法律规定的必要情况除外。」这点可以理解。但如果使用者依然认为这是一个开源插件，就可能会更为放心地开放所有网页取用权限给它。

网站的 Q&A 里有写「我们创新性地采用了预缓存热门公共网页的技术」，不清楚它是如何判断「热门公共网页」的。App Store 中声明的是会收集不与使用者身份关联的使用状况资料。

另外则是《隐私协议》里有一段「关于 Safari 扩展的权限说明」。个人觉得这一段写得挺糟的，有误导新手之嫌。比如称安全提示是「对极端情况下的安全提示，是针对那些不可信任的软件」。实际上这就是使用者知情权的提示，告知使用者启用扩展须面临的风险，尤其是这类要求获取所有网页而非个别域名的页面信息的插件。这显然不是什么「针对那些不可信任的软件」的声明。「沉浸式翻译」也只是「公开承诺」不收集隐私和敏感信息，我不认为「沉浸式翻译」会比我使用的别的插件更可信任。

鉴于此，如果要继续使用「沉浸式翻译」，建议把网站读取权限设置为「点击时」，仅当访问须翻译网页时赋予单次权限（图三是 Chrome 上的设置，其他浏览器参照之）。

[1] 10k+ star 的项目也搞假开源 - V2EX https://www.v2ex.com/t/961178
[2] 沉浸式翻译这事，多说几句 - V2EX https://www.v2ex.com/t/962364
[3] 隐私协议 | 沉浸式翻译 https://immersivetranslate.com/docs/PRIVACY/

@board