Honey 浏览器扩展的背叛：源代码分析揭露劫持联盟营销收益的真相

以提供免费折扣为诱饵，在全球 1,700 万用户的浏览器中占据一席之地的购物工具 Honey。在 PayPal 花费 40 亿美元巨资收购该服务的背后，隐藏着一套精心设计的欺骗体系。这并非单纯的技术失误。通过对五年间源代码的反向工程分析，由于多年来不断升级的工程滥用，旨在窃取他人收益的真相浮出水面。

选择性退出与欺骗测试者

在联盟营销市场中存在着基本的商业道德。即“不覆盖已通过其他渠道引入用户的 Cookie”而主动退出的 Stand-down 原则。然而，Honey 通过代码选择性地忽略了这一原则。特别是为了规避监管，它甚至运行了一套画像引擎（Profiling Engine），用以判别用户是安全专家还是普通消费者。

• 65,000 Honey Gold 的门槛： 累计积分低于约 650 美元的账户被归类为“测试者”。在这些账户中，代码被设计为不激活违规逻辑，从而躲避监测网。
• 工业级 Cookie 检测： 一旦在浏览器中发现 Rakuten 或 Awin 等联盟营销网络后台的登录记录，Honey 会立即伪装成“良心应用”，停止一切可疑活动。

进化为 6 个阶段的违规逻辑史

Honey 的系统随着时间推移变得愈发狡诈。这不仅仅是维护代码的水平，而是每年都在技术上实现跨越，以隐藏其违规行为。

进化阶段	时期	主要技术变革	联盟营销逻辑控制方式
初期阶段	~2019	基于简单 if-else 的硬编码	应用静态规则
停滞期	2020-2021	PayPal 收购后的系统稳定化	仅执行基础功能
动态转型	2022-2023	引入基于 JSON 的动态配置	服务端实时控制
规避安全检查	2024~	搭载 VIM 引擎（解释器）	使 Manifest V3 规定失效

使谷歌安全规定失效的 VIM 引擎

为了增强扩展程序的安全性，谷歌严格禁止引入并执行外部代码。这就是 Manifest V3 规定。Honey 没有选择正面突破这一规定，而是采取了一种怪异的做法：在扩展程序内部构建了一个独立的 JavaScript 运行环境。

Honey 内部搭载的 Acorn JavaScript 解析器会将从服务器下载的 JSON 数据解析为可执行逻辑，而非简单的信息。谷歌的静态分析工具将其识别为普通数据并予以放行。结果，Honey 拥有了无需更新扩展程序即可实时操纵用户浏览器行为的全权。

归因劫持与收益窃取

Honey 窃取收益的方式隐秘且致命。在用户到达支付页面的瞬间，它会在后台打开一个肉眼不可见的 1x1 像素标签页，强制调用联盟营销链接。在此过程中，原内容创作者本应获得的推荐 Cookie 被删除，取而代之的是 Honey 的标识符。

根据实际分析案例，Honey 在仅向用户提供 0.89 美元积分的同时，却在背后全额窃取了本属于创作者的 35.60 美元佣金。甚至在用户按下“应用优惠券”按钮之前，它就将代码发送至服务器，导致小微企业仅向特定客户发放的 VIP 代码或一次性代码泄露到公共数据库中，造成损失。

技术的卓越与道德的缺失

Honey 的案例展示了当技术脱离道德准则时会产生多么破坏性的后果。目前，包括 Rakuten 在内的大型联盟营销网络已永久封禁了 Honey，受害的内容创作者们正在发起集体诉讼。

我们必须记住，所谓的“免费服务”实际上可能是以窃取他人正当劳动价值为代价的。如果一个浏览器扩展程序要求读取和更改所有网站数据的权限，请怀疑其意图。Honey 的不当行为并非偶然失误，而是为了追求利润最大化而精心计算的设计产物。