专门侦测电子商务恶意软体与安全漏洞的资安业者Sansec周二（6/25）警告，知名的Polyfill函式库polyfill.io自今年2月卖给了一家中国业者之后，开始嵌入恶意程式，以将造访使用其服务的网站使用者重新引导至体育赌博或其它恶意网站，呼吁网站管理人员应该关闭Polyfill，或是改用其它较为可靠的服务。

Polyfill函式库的功能是在旧版浏览器中补充或模拟现代浏览器所支援的功能，因此，当旧版浏览器用户所造访的网站具备现代化浏览器所支援的新功能时，网站即可导入该函式库来实现相同的功能，让网页于旧版浏览器上能够正常运作。polyfill.io即为热门的Polyfill函式库之一，目前全球有超过10万个网站嵌入该函式库。

根据照片部落格Notos共同创办人暨执行长Renaud Chaput今年2月的说明，polyfill.io原本隶属于金融时报（Financial Times）的网页团队，该团队之后将它移交给社群管理，但最后的一名管理人员在今年2月将它卖给了中国一家奇怪的内容交付网路（CDN）公司，新公司将polyfill.io自Fastly平台搬离，并开始修改及胡弄返回用户端的档案。当时Chaput即建议各界不应该再推荐polyfill.io。

同样是在今年2月polyfill.io易主之后，Polyfill专案的作者Andrew Betts也警告各网站应立刻移除polyfill.io。Betts还澄清，虽然他建立了Polyfill服务，但从未拥有该网域名称，也从未参与它的销售。

Sansec则说，这家中国公司同时购买了polyfill.io及其GitHub帐户，且不时有用户至其GitHub帐户提出控诉，只是都被删除。

Sansec建议，不再需要Polyfill函式库的网站应该立刻移除polyfill.io，或是改用由Fastly或Cloudflare所提供的Polyfill方案。