Blog · 安全通告 · 2026 年 7 月 14 日更新

ModHeader 恶意软件清理指南:卸载、清除残留、堵住后患

2026 年 7 月上旬,在研究人员报告其内置隐藏数据收集 SDK 后,Google 将 ModHeader v7.0.18 判定为恶意软件,Microsoft 也将其从 Edge 商店下架。这是一份不煽情的实操清单:确认是否受影响、卸载、清除 Mac/Windows 上的残留,并保护它可能碰过的东西。

无论你最后用不用 VibeHeader,这份指南都写得对你有用。下文关于 ModHeader 的所有说法均来自 Google、Microsoft 和独立研究人员(见文末出处),不是我们自己的分析。如果 Chrome 或 Edge 已经替你停用了这个扩展,说明下面的清理步骤正适用于你。

赶时间?核心动作就四步(细节见下文):

  1. 从 Chrome 和 Edge 中删除扩展
  2. 在 Mac 或 Windows 上删除它的残留存储文件夹
  3. 在 DNS 或 hosts 里屏蔽 api.stanfordstudies.com
  4. 轮换你粘贴进去过的所有密钥

发生了什么(60 秒版本)

如果你还装着 ModHeader,各方普遍建议的做法是删除它。下面是彻底清理的步骤。

第 1 步 — 确认是否受影响

打开 chrome://extensions(用 Edge 的话也打开 edge://extensions),开启开发者模式以显示版本号。

如果 Chrome 的安全检查已经显示"此扩展程序包含恶意软件",那你来对地方了——不要只是把警告点掉,请完成下面的全部清理。实际的警告长这样:

Chrome 扩展安全检查将 ModHeader - Modify HTTP headers 标记为包含恶意软件并建议删除
Chrome 安全检查将 ModHeader 标记为恶意软件并建议删除。

第 2 步 — 删除扩展(Chrome 和 Edge)

  1. 打开 chrome://extensions → 找到 ModHeader → 点击移除 → 确认。在 edge://extensions 重复一遍。
  2. 如果浏览器已经停用了它,保持停用、直接点移除——停用只是不让它运行,缓存数据并不会删除。
  3. 在装过它的每一个浏览器配置文件里都执行一遍(Chrome 的每个 Profile 相互独立)。

第 3 步 — 删除残留的本地数据

卸载通常能清掉大部分,但该扩展的缓存数据——研究人员报告其存储的请求/响应头可远超 100 MB,可能包含 token 和 Cookie——有时会残留。稳妥起见,把以下仍然存在的文件夹删掉。Default 请替换成你实际的配置文件夹(也检查 Profile 1Profile 2……)。

macOS

~/Library/Application Support/Google/Chrome/ 下(Edge 对应 Microsoft Edge 目录):

Windows

%LOCALAPPDATA%\Google\Chrome\User Data\ 下(Edge:%LOCALAPPDATA%\Microsoft\Edge\User Data\):

删除前请完全退出浏览器,否则文件可能被占用。

💡 提示:把清扫交给 coding agent。如果你在用 Claude Code、Codex 这类编程智能体,可以直接把本文链接(或上面的目录清单)粘贴给它,让它遍历你所有的浏览器 Profile,找出并删除 ModHeader 的残留目录——Profile 多、怕漏删的时候特别好用。两个安全提醒:先完全退出浏览器;让它先列出找到的目录、经你确认后再动手删。

第 4 步 — 屏蔽外传域名

把收集端屏蔽并留痕,确保哪怕有残余的缓存副本也发不出任何数据:

第 5 步 — 轮换喂给过它的敏感信息

由于该扩展能读取并存储流经浏览器的请求头,你曾经常粘贴进去的东西都应按可能暴露处理,全部重新签发:

鉴于报告称其处于休眠状态,这属于预防性措施——但换一个 token 的成本,远低于赌它没事。

IOC 入侵指标(供安全 / IT 团队排查)

在受管终端上按以下指标排查。可信度最高的是扩展 ID、版本号、外传端点和伪装文件名;标注(据报告)的条目来自原始逆向分析文章,为完整性附上。

类型指标
扩展 IDidgpnmonknjnojddfkpgkljpfnnfcklj
版本7.0.18
网络(外传)指向 api.stanfordstudies.com/app/log 的出站 POST
域名api.stanfordstudies.comstanfordstudies.com
伪装文件dayjs.min-*.js(数据收集 SDK)
相关文件(据报告)background-94ad634d.js
硬编码 AES 密钥(据报告)aWfU3yG_wksZaQdSnxPJBOId0cAN8KK/UIlZbli7-bE
指纹盐值(据报告)mod盐header

报告的行为特征:只收集域名(不含完整 URL、Cookie 值、密码),AES-GCM 加密,按设备随机化调度、每天批量上传一次,无远程代码执行、不加载外部脚本。

常见问题

我的浏览数据真的被偷了吗?

据逆向 7.0.18 版本的研究人员称,收集器发布时处于空白名单背后的休眠状态,测试环境中没有数据被发出。但端点、密钥和调度器都在,后续更新随时能激活。请按真实的暴露风险处理而非已确认泄露:删掉它、清掉数据、轮换你粘贴过的密钥。

Chrome 已经停用了它——这就完事了吗?

还没有。停用只是不让它运行,本地缓存数据(据报告存储的头、token、Cookie 可远超 100 MB)并不会删除。请彻底移除,并按第 3 步删掉残留文件夹。

受影响的是哪个版本?

研究人员将隐藏 SDK 归因于 7.0.18 版本(ID idgpnmonknjnojddfkpgkljpfnnfcklj)。2026 年 7 月上旬 Google 标记并停用、Microsoft 从 Edge 下架。

该换什么用?

按这几条标准挑:轻量、原生 MV3、无广告、无数据统计、权限一眼看得懂。VibeHeader 就是按这个标准做的(并正在开源以供审计);需要更重的规则引擎可以看 Requestly 和 Header Editor(英文)。

如果你需要一个替代的请求头编辑器

测试工作还是离不开改请求头——所以实际的问题是接下来信任谁。真正重要的清单:功能小而专注;原生 Manifest V3;无广告、无数据统计;权限清晰可判断;分享机制不经过别人的服务器。

VibeHeader 就是按这个规格造的:无广告、无追踪,链接分享把配置编码在 URL 片段(#c=)里,在你的浏览器本地解析,不向任何服务器发送。它也正在开源——你不必只听我们的一面之词。想看完整来龙去脉和其他选择,见开发者自述(英文)ModHeader 替代品对比(英文)

VibeHeader 扩展界面:清爽的 HTTP 请求头规则列表和分享链接按钮,无广告
VibeHeader:专注的请求头编辑器,一键链接分享,无广告、无统计。

没有强推——这个页面的目的,是无论你换成什么,都先安全地把残留清干净。

出处

本页关于 ModHeader 的所有说法均归属于 Google、Microsoft 及上述链接中的研究人员。标注"(据报告)"的指标来自 HackIndex 的文章,我们未做独立复验。