沉浸式翻译强制收集所有用户的 token 令牌，这合理吗？

不合理，未通知未授权就同步就是不合理不合法的

是我就加个密再上传，抓包也不知道收集的是什么

我没有这个同步的界面，是不是因为我没登录的问题？

不登陆就不会有这个选项
虽然想要同步肯定要把你的 token 上传到云端，但是确实应该提供一个开关

我没登录，就没有这个选项

不合理，另外推荐 @fishjar 的 https://github.com/fishjar/kiss-translator

这是要一鱼多吃嘛

这扩展推广手段也有够流氓的，我关注的好几个日本画师无关推特下都有他们广告

同步不是付费用户的功能吗，免费用户也能用？

换一个翻译,不要让他一家独大,垄断就乱来

@SingeeKing #9 目前来看，只要登录了就会同步

@drymonfidelia 这扩展推广手段也有够流氓的，我关注的好几个日本画师无关推特下都有他们广告。推特 Latest 搜 immersive translate 全是他们的 SPAM 账号，复制粘贴一样的文案回复在推特底下，只要推特出现关键词 translate/translation 就有可能被他们回复 SPAM ，即使内容完全无关。我刚举报 ban 掉一个，又换一个。

我没有登录账号，我也没有填 token ，用自带的翻译，能用就行懒得配置

很简单，去淘宝买个 DEEPL 的免费 KEY,作为翻译主力不就可以了嘛

之前爆出收集隐私信息和国内某企业有合作的时候就弃用了，现在用 kiss translate

可以了解下 沉浸式翻译 的开源历史，反正我是看到这个 /t/969318 后不用的。我现在只用 chrome 自带的右键翻译，没有双语显示确实麻烦，不过我也懒得折腾了。

@HUZHUANGZHUANG #14 老哥，问题是他们会收集所有的用户 token ，而不是我应不应该去淘宝买免费的 DEEPL KEY

建议大家都去 report abuse 到他下架，未经同意收集 token 肯定是违反 ToS 的

如果 key 不能同步，那还叫啥同步

@x86 首先应该通知和授权，第二可以加盐，但是它连盐都没加。

@x86 #19 我理解是，如果用户同意，那么可以收集。如果用户不同意，你不应该在毫不知情的情况下将用户的所有 token 上传至服务器

@x86 不是说不能同步，关键是“未经同意”

@0o0O0o0O0o #6 好评

同步一样有很多方案的，类似的通过 gist 或者 webdav 也能完成同步，还不会涉及隐私问题

@zhaotianxionkm 加盐是什么鬼

@ThinkStu #17 我想表达的是：
1 、DEEPL 免费容量 KEY 在淘宝上很便宜（ 10 元左右），每月 50 万字符的免费额度，基本够用，即便 key 被盗用，可以让你的损失没有那么大。
2 、OPAI KEY 我也在用，先进的模型调用一次我觉得还是比较贵的。所以 DEEPL 免费容量 KEY 作为替换，无论成本还是损失上都可以接受。
3 、他们这个插件的这些操作是你可以控制的吗？不能控制的事情，纠结起来也没有意义，只能改变自己来降低风险。
4 、你说了“目前来看，只要登录了就会同步” ，所以放弃登陆，然后删除之前的 OPEN AI KEY.基本就避免可 key 被盗用问题对吧？
5 、DEEPL 是做专注于翻译的，说是世界上最准的翻译工具。翻译功底上定比 OPEN AI 翻译来好一些。因为术业有专攻嘛

@xmumiffy 考虑错了，密码应该加盐，秘钥不用。

@xmumiffy 它这个功能是多端同步，那么可以在客户端加密传到服务器，用户指定加密密码，这样服务端无法解密，这才是让用户可信的操作。

@HUZHUANGZHUANG #26 你回复的都对，但对 OP 来说是牛头不对马嘴

pcdn 模式？

@justsomac #29 嗯，我更想表达的是：你控制不了的事情，讨论起来也没有意义。只能改变自己。

作为一个商业产品来说，真的太粗糙了

已经切换到 cici ，翻译，总结，搜索

mac 一直用 bob

这软件出的问题真不是一般的多啊……隔三叉五就看到曝料这个问题那个问题，而且也不止是在 V 站看到，反正我是不敢用。

不是哥们，这功能的作用是「在不同设备之间同步配置」，你的 token 还要不要同步呢？

@lambdaq 隐私信息要不要同步，要先询问，经过用户同意。而且隐私信息同步没做任何安全防护。

@0o0O0o0O0o #6 两周前看推上有人推荐就转这个了，这个还开源。

@Fooooo0 默认同步当然是不对的。无论是不是隐私，同步都应该是 opt-in 。

不通知用户，这在欧盟那边犯法了吧？现在网站使用 cookie 都要弹个窗，使用秘钥肯定也要先通知

你说的事情大概率是真的，这么做也很大概率是不合理的

但我还是很难不怀疑你的动机 https://v2ex.com/t/1032428

同步配置不同步这些 key ，那还同步个鸡儿啊？

只能说没有明显提示你，做的不到位。
但是要说他强制收集你的 key ，我认为还是没必要被害妄想症。
虽然这个插件我觉得不咋好用，我平时都是禁用状态。我更喜欢用“划词翻译”

话说为啥我的设置里只有一个同步到 google ，没有同步到作者服务器的功能。

@czfy #41 哈哈哈哈，那就说得通了

多谢，已经换成 https://github.com/fishjar/kiss-translator 了

@czfy #41
这商战过于真实，连图标都神似。

我发现我进入也安装过了，在我本地扩展里躺着，禁用状态

@czfy #41 老哥，我是写了这款插件，不过我开源了。正是因为我写这款插件，我才能发现沉浸式阅读他做的一些不合理的地方。没有商战
@Y25tIGxpdmlk #45

@ThinkStu #46 哎，瓜田李下的典故要懂。
有些事可以质疑，但是要避嫌。

@HUZHUANGZHUANG #31
1. 翻译功底 openai 不比 deepl 差吧，甚至是降维打击；
2. “你”控制不了，不代表大家不能讨论，不代表大多数用户无不能抵制商业产品的错误行为

KISS Translator +1

@czfy 非常戏剧化

@HUZHUANGZHUANG #31 通过楼主的帖子，大多数用户选择抵制沉浸式翻译选用其他产品，以促使他们进行改进。这算不算也是一种控制呢？

@busuzhike #50 你可以理解为，正是因为我写了一款开源插件，我才能发现“沉浸式翻译”的不合理之处。

相互促进，协助成长

有没有可能是你启动了云端同步的功能

@ajinwu #54 并没有关闭的开关。

而且这个我是登录了的
@ThinkStu

https://i.mjj.rip/2024/05/21/fc5c7d735ff34e31919dea2cb03ffd17.png

这些 key 不都是你自己填在沉浸式翻译的设置里的么，同步配置没毛病啊。顶多是没告知未端到端加密。

@Yukineko #51 我问你几个问题：
1 、你知道这个插件有多少用户吗？
2 、你知道使用 OPEN AI 进行翻译的有多少用户吗？这些用户中像楼主这样在意这问题的又有多少用户吗？
我想表达的是：讨论这个问题，不能撇开用户基数和比例来谈。不清楚数据的情况下，你怎么能说“大多数用户选择抵制沉浸式翻译选用其他产品，以促使他们进行改进”？人家直接放弃楼主这类用户，他们又能怎么样？不能怎么样

你可以去官网看看用户协议里的：“Changes to These Terms and Conditions”，楼主觉得有问题，那人家改一下用户协议嘛。

3 、这插件官网提供了多种渠道：邮件、微信、QQ 、公众号、github 来反馈问题，他为什么不先去反馈一下，看看啥情况，然后再来发帖？多半是他没去做。

4 、“您可以随时通过联系我们 [email protected] 来请求删除您的数据。您应该明白，一旦删除您的账户，您将失去访问或使用沉浸式翻译全部或部分的权利。” 他为啥不发邮件进行数据删除？

另外：大多数登录功能，基本就是为了存储和同步数据做的准备。如果他们这个功能，仅仅是获取一个用户帐号。在另一台电脑上登录后，还要重新手动配置一下。会不会又有人发帖：说这个插件的登录功能是个鸡肋，每次都要重新配置？


所以，楼主一开始直接通过上面的反馈渠道，问清楚这个问题，觉得不满意，那就直接通过邮件要求删除数据，这事就完了，这个帖子其实没啥意义。

@HUZHUANGZHUANG #58

> 他为什么不先去反馈一下，看看啥情况，然后再来发帖？
> 他为啥不发邮件进行数据删除？

这又不是公开了就可能被第三方利用的安全漏洞，我觉得他并没有通过官方给出的反馈渠道来联系的必要。

> 觉得不满意，那就直接通过邮件要求删除数据，这事就完了，这个帖子其实没啥意义

另外这个插件在被收购、闭源、商业化之前有 fork 和开源经历，在本站也有过争议 /t/961178 ，它的用户里可能还有认为它是开源而信任它使用它的（我不想在这里辩论这种信任是否合理，但很多人对开源软件的信任就是存在）。OP 在这个相对来说更着眼技术也更在意隐私的社区提出来有什么不合适的？为什么删除了就完了，就不能是对一个有相当用户量的产品对于隐私的不重视的批评吗？你强调了三次没意义，但在我看来这么多条回复里还是有不少人觉得有意义的。

@HUZHUANGZHUANG #58
1 、老哥，你争论的问题方向已经变了。我的核心是指沉浸式翻译收集用户的 token ，没有经过用户同意、也没有提供关闭的选项，而且在做法上存在一定的安全风险。
2 、我可以在任何地方反馈，包括 V2EX ，因为这是一个技术论坛。为什么你不先私下问问我是什么情况，再回复呢？

感谢，已经换成楼上推荐的 kiss-t 了，顺便贴一个自定义样式供参考，字体可以换成自己喜欢的

```
font-family: "LXGW WenKai GB Screen R", Robot, SimSun, sans-serif;
font-size: 16px;
line-height: 1.6;
letter-spacing: 1px;
rgb(124, 204, 156);
color: rgb(0,0, 0);

/*下划线*/
text-decoration-line: underline;
text-decoration-style: dotted;
text-decoration-color: #ff374f;
text-decoration-thickness: 2px;
text-underline-offset: 0.3em;
-webkit-text-decoration-line: underline;
-webkit-text-decoration-style: dotted;
-webkit-text-decoration-color: #ff374f;
-webkit-text-decoration-thickness: 2px;
-webkit-text-underline-offset: 0.3em;
```

收集用户的 token 令牌並不合理，理应提供开关选项，同步时先由用户定义访问金钥，在客戶端加密后才上传。
许多 token 令牌並不只是具备翻译作用，还具备帳戶控制、账单检阅、翻译记录等隠私。
假如 OPENAI 的 token 泄漏，最大的危机並不是账单问题，而是透过 API 查看历史记录中包含的公司、代码信息。

@HUZHUANGZHUANG #54
官方做法不合理那用户就一句话都不能讲自己去找解决方案？

本地起一个 http 代理到大模型的 endpoint, 然后翻译软件中的密钥配置为 127.0.0.1 + 代理服务自定义的密钥

阿里云的 Key 都直接收集也是够猛，如果是主账号的密钥，能直接白嫖你阿里云买各种服务器等产品

> 觉得不满意，那就直接通过邮件要求删除数据，这事就完了，这个帖子其实没啥意义

要求删除数据並不是完全删除，也不会是立即刪除，基於法律在刪除后仍需保留一段時間。其次，已备份的数据並不会再修正，所以仍会。你的数据公开了就不要想著收回来，要求删除数据只是掩耳盗铃

@HUZHUANGZHUANG "讨论问题不能撇开用户基数来谈" 和 "这个帖子其实没啥意义" 这俩好像矛盾哦, 你统计过这个帖子有多少人看, 对多少人有帮助吗, 我就很在意这个问题, 不光是密钥, 翻译的敏感数据也是个问题.
或者用你的话来说, 你觉得这个帖子没意义, 为啥不 ban 了楼主, 或者关掉, 而是选择了写一段这么长的话来表达自己观点,而不是去改变自己, 这有"意义"吗

这个感觉铁定违反 chrome 商店协议了吧。
看了下背后的商业公司也是国内的。这一堆人拿着翻译 twitter 和 reddit ，搜集到的内容很可能就同步给国安了。

具有中国特色的商业软件

天下乌鸦一般黑,这些云服务有一个算一个都会收集用户信息的,数据就是未来互联网公司最重要的资产,怎么可能不收集

你能做的只是找一个保护用户隐私比较好的服务

我改用 划词翻译 了

@0o0O0o0O0o #6 看着挺好，就是图标有点丑😂
我之前用的是划词翻译
https://hcfy.app/docs/guides/summary/

不知道呢,我用的白嫖的

@HUZHUANGZHUANG #31 讨论起来为什么没有意义？

kiss Translator 启动

@EJW #5 +1

@zbowen66 #76 而且我的 Key 是在本机 nginx 里加上的，软件里面就不填或瞎填 key ，地址指向 nginx

proxy_set_header Authorization "Bearer xxx"

感谢告知，不用沉浸式翻译了。

在用 monica 的对照翻译感觉挺不错的，永久的 3.5

kiss translator 启动+1

@ahjsrhj #74 因为楼主担心的风险(key 存在滥用以及被盗用的风险)，我前面已经给出解决方案，也就是有方法来避免的。

如何讨论起来有意义：发帖前找官方对线，如果官方回答不满意，然后再来这里讨论。如果官方回答让他满意，他也可以发出来问问大伙他们操作有没有问题。截止到目前回复你，我没看到他贴出和官方交流的结果。

每个人都是自己的第一责任人，我们不应该寄希望于外界的改变来满足自己的要求，在外界没改变之前可以改变自己来降低自己的风险。

@HUZHUANGZHUANG 我觉得楼主反应出这个事价值很大，因为确实存在这件事不合理且很重要，同时我平时没有注意到，那么我就会注意数据安全这块问题！不能说不反馈就讨论就没有意义！

@ThinkStu #60 第一、我承认你说的这类风险存在，但在前面的回复中，你担心的风险是可以通过个人操作避免的。
第二、你确实可以在任何地方反馈这个问题，包括 V2EX 。但是在这类非官方渠道反馈并不有助于快速解决你的问题。
第三、你可以把你官方渠道的反馈结果贴出来给大家看看，这样才能让大家看清楚他们的态度，大家更在意的是官方怎么解释你提出的问题嘛。

第一反应是 access token ，看完才知道是 api key 。。。。。。

感受上是你自己的选择，如果在勾选的时候，给更明确的提示，我觉得也没什么问题。

@HUZHUANGZHUANG #81 讨论上传 token 、你非来一个其他话题来搅混水干嘛呢 哥

@czfy 论迹不论心

大家好，我是沉浸式翻译的作者。

很抱歉由于软件的问题给大家带来困扰，我们调查了楼主提到的问题，发现这里叠加了 2 个界面显示的 Bug ，但插件本身的云同步逻辑并没有 Bug ，插件并不会自动同步普通注册用户的任何设置（包括 Token ），以下是详细说明：

1. [多设备云同步] 是沉浸式翻译 Pro 会员的一个 Feature ，Pro 会员可以在设置界面启用或者关闭该功能，对于普通注册用户，沉浸式翻译并不会同步这些用户的任何设置，也不应有权限使用此功能。但这里针对普通注册的用户，有一个界面显示的 Bug ，他们本应看到 [您需要成为 Pro 会员才能启用云同步功能] 的提示，但当前版本没有显示该提示。并且，普通注册用户主动点击 [同步] 按钮时，界面上并未弹窗阻塞该流程。

2. 我们又排查代码逻辑发现，沉浸式翻译在刚推出登录功能（ 2023.8.13-2023.8.19 ）那一周注册的普通用户，也拥有 [多设备云同步] 的会员权益，这是因为当时在调整会员权益时，为了不影响老用户的权益，做的兼容处理。

总结就是，如果您是普通注册用户，或者您从未登录过沉浸式翻译，那么您的设置没有，也永远不会被自动同步到沉浸式翻译的服务器中。



因此，我们主要的修复策略是将该功能限定为 [仅 Pro 会员] 可用。在下一版本中，我们将进行以下优化：

1. 当普通注册用户主动点击同步时，插件将弹窗告知用户 [仅 Pro 会员才能使用此功能] （将在下个版本 1.5.6 生效）。
2. 新增 [是否要同步自定义 Token] 的独立选项，Pro 会员可自助设置是否要同步自定义 Token.（将在下个版本 1.5.6 生效）
3. 为了避免逻辑混乱，上述 2 中提及的少数早期注册用户，将视为普通注册用户，不再享有特殊权益。
4. 对于不应拥有此权益的少数用户（如主动点击过 [同步] 按钮的普通注册用户），我们已在服务端主动清空了这些用户的插件设置数据，立即生效。

下面是待提审的设置页面截图：



希望上述说明可以解除您的疑惑。沉浸式翻译目前还是一个非常小的团队，因此不可避免的会存在一些 Bug ，但是我可以保证这些 Bug 并不是有意的，并且我们依然在不断的改进沉浸式翻译插件的性能和功能，希望您能理解。

最后，真的很抱歉由于软件问题给大家带来的困扰。

如果您是注册用户，并且想完全删除您的数据，您可直接联系客服邮箱 [email protected] 提出删除请求即可。

果然全球工单系统

@theowenyoung #87 感谢作者回复。希望可以为老用户提供关闭功能，或者将此开关功能向所有人开放，让大家做决定。

@ThinkStu

您可以看下上面的第 4 点，对于不拥有此权益的老用户，服务端已清空了这些用户的插件设置数据，后续也不会再有任何地方能绕过限制主动同步。

而拥有此权益的会员用户，一直都有开关可以决定～ 下个版本额外再加一个敏感信息的单独开关。

58 楼的意思如下：为什么不报官，却直接造反。

----

非安全漏洞，可能认为是设计缺陷或者无意为之，发到社区讨论讨论有什么值得指责的

再说发 v2 比直接发官方解决效率更高

----

https://imgur.com/1jWZs17

https://imgur.com/pADgPrB

@theowenyoung #90 抱歉，太长了刚才看到。不过，如果我伤害了用户，我不会对用户说：“好吧，现在如你所愿，我即将制裁你们”。我本人并不希望将一些数据上传至其他地方，但是其他用户的权益也不应该因此受到影响。

稍微跑个题，One API 支持对令牌设置 IP 限制，即使泄露了也无妨，同时 One API 目前也支持 DeepL 的模型： https://github.com/songquanpeng/one-api

@JustSong #93 我有一款开源插件已支持 one-api👍🏻

@zhaotianxionkm 你先了解下加盐是干什么用的

@ThinkStu

不知道是不是我在 #87 没表达清楚，您提到的问题，的确是我们界面上的一个 Bug ，对此的修复并不是制裁用户呀。

@body007 #16 可以考虑下 @fishjar 开发的开源插件 KissTranslator https://github.com/fishjar/kiss-translator

@theowenyoung 我觉得 op 指的应该是那小部分早期用户本来能享受到 pro 的待遇，现在却因为 op 指出了这个问题而失去了权益

我用的还是很早很早之前的完全免费的 Bob ，完全没有升级的欲望

@WizardLeo 谢谢。 说实话，我们自己已经忘记了这个特殊逻辑存在。保留类似的特殊逻辑对我们的维护要求会比较高，更容易让我们在实现各种特性的时候考虑不周导致类似的误解。

另外就是，我们还提供了通过 Google Drive 进行同步的方式，所有用户都可以用 Google Drive 来同步设置。