
Phia cookie 風波拆解:優惠碼外掛點樣覆寫 affiliate code
調查指背景 tab 可改 referral,Phia 話已修正問題
Phia 發生咩事
Phia 呢間 AI shopping startup,本身賣點好簡單:裝咗 app 或者 Chrome extension,買衫買鞋時幫你格價、搵二手選項同優惠碼。問題係,Bloomberg 調查指 Phia 嘅 extension 喺用戶 checkout 時,會開一個背景 tab,載入帶有 Phia affiliate code 嘅商戶連結,令佢有機會攞到本來唔應該屬於佢嘅 referral credit。TechCrunch 之後報道,Impact.com 已暫停同 Phia 合作,Phia 方面就話收到通知後已修正,Bloomberg 重測亦見到先前情況停咗。

圖片:Chrome Web Store / Phia
Cookie stuffing 點運作
Affiliate marketing 嘅正常玩法係,你經創作者、媒體、格價網站條 link 去商戶,瀏覽器會留低一個 cookie / tracking ID;你買咗嘢,商戶就知邊個帶你入嚟。Cookie stuffing 最麻煩嘅位係,工具冇真正帶你去買,但喺臨俾錢前塞入自己嘅 tracking。Impact.com 自己嘅 fraud guide 都話,cookie stuffing 係自動落 cookie,之後攞未真正推動到嘅購買 credit。

圖片:Chrome Web Store / Phia
今次指控細節
今次指控比較敏感,因為 Bloomberg 話自己喺 6 月底開始一星期內測試 Phia,涵蓋超過 50 個零售網站;Capital One Shopping 同獨立研究員 Ben Edelman 嘅結果亦大致吻合。報道指測試場景包括用戶冇撳 Phia 搵 coupon,只係自己入商戶,甚至經 Wirecutter 或者 Google ad 入去,Phia 都會喺 checkout 附近自動開背景 tab,再用自己嗰個蓋過原本 referral code。Edelman 另指相關 auto_drop 功能喺 2025 年 12 月已出現,呢點同 Phia 講「近期 release 令部分用戶 misattribution」有落差;呢部分暫時係調查同研究員說法,Phia 未向 TechCrunch 另作回應。
用戶風險喺權限
買家可能會覺得,affiliate credit 係創作者同商戶之間分錢,自己有折扣就算。但 browser extension 係放喺你同網店中間嘅軟件,權限通常好闊:Chrome Web Store 上 Phia listing 列明會處理身份資料、登入資料、web history 同 website content;NowSecure 2025 年亦分析過 Phia iOS Safari extension,指佢可見到好大範圍瀏覽資料。Bloomberg 亦提到,Phia 當時話收到研究員通知後已改為只記錄 URL。優惠碼工具要讀 checkout 頁面先幫你填 code,技術上講得通;但同一組權限亦可以改 URL、改 cookie、記錄頁面內容,信任成本唔低。
Honey 之後,Google 已經收緊規矩
呢條線其實有前科。PayPal 旗下 Honey 2024 年尾起俾創作者同媒體追打,爭議同樣圍住 last-click attribution:買家臨俾錢同 extension 互動一下,原先帶貨條 affiliate link 可能就俾 Honey 蓋過。PayPal 一直用行業做法回應相關指控,但 Honey 相關訴訟到 2026 年仲未完全完結。Google 2025 年 3 月亦改 Chrome Web Store affiliate ads policy,明文要求 extension 只可以喺有直接、清楚嘅用戶好處、亦有相關 user action 時先加 affiliate link、code 同 cookie。
香港用家要點睇
放返喺香港用家身上,唔使硬講成 Phia 香港事件;暫時未見到 Phia 有明確香港可用性同本地商戶牽涉。比較實際嘅提醒係:買海外網店、用 cashback link、跟 YouTuber 開箱 link、再加優惠碼 extension,呢幾層 tracking 會打交。你以為自己只係慳幾蚊運費,背後其實係好多公司爭最後一次 click。裝呢類 extension 前,睇清楚佢要唔要讀所有網站資料、會唔會喺冇折扣時照加 affiliate code、privacy policy 點寫資料用途;唔常用嘅話,停用或者只喺購物 profile 開,會乾淨好多。
下一步睇 network 點處理
Phia 今次如果真係修正晒,下一步就睇 Impact.com 同其他 network 點收科,仲有商戶會唔會追返 commission。優惠碼 extension 呢門生意一路靠「免費幫你慳錢」做賣點,但每次攞 credit 嘅條件要講清楚,尤其係有冇用戶 action、有冇真折扣、會唔會覆寫已有 referral。用戶呢邊,最實際係定期清 extension,尤其係有權讀 checkout 頁同改網址嗰啲。
參考來源
- TechCrunch — Phia accused of ‘cookie stuffing,’ taking affiliate credit on purchases it didn’t earn — original report
- NDTV / Bloomberg: Bill Gates Heir's Shopping App Took Credit For Sales It Didn't Drive — 刊出 Bloomberg 調查主要細節:50+ 網站測試、背景 tab、Impact.com 停合作同 Phia 回應。
- Ben Edelman: Forced Clicks and Stand-Down Violations by Shopping Plugin Phia — 獨立研究員技術分析,補充 forced click、stand-down 規則同 auto_drop 時間線。
- Phia: Best Price in One Click - Chrome Web Store — 官方產品頁,確認 Phia extension 功能、affiliate model、版本日期同資料處理類型。
- Chrome Web Store: Affiliate Ads Program Policy — 官方政策,確認 extension 加 affiliate link、code 同 cookie 要有 user action 同直接透明好處。
- Impact.com: Affiliate Fraud: How to Detect and Prevent it From Happening — affiliate network 背景,說明 cookie stuffing 點樣自動落 cookie 同常見 red flags。
- Courthouse News: PayPal unlikely to dodge class action from influencers over lost commissions — Honey 訴訟近況,用嚟對照 coupon extension 覆寫 affiliate link 爭議。
- NowSecure: Inside a Mobile App’s Data Overreach: What Our Phia Safari Extension Analysis Reveals — 安全公司分析 Phia Safari extension 資料收集風險,用嚟補 extension 權限背景。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







