4月3日工信部网络安全威胁和漏洞信息共享平台的一则通报，给数亿苹果用户敲响了安全警钟。覆盖iOS13.0到18.7版本的两大高危漏洞已被攻击者利用，轻则窃取相册、通讯录、支付信息等敏感数据，重则远程控制设备执行任意操作，受影响范围几乎囊括近10年发布的绝大多数苹果移动终端。不同于以往小范围、低危害的漏洞预警，此次涉事漏洞已出现实际攻击案例，苹果虽快速推送了多版本补丁，但用户端的认知缺位、侥幸心理，仍可能让上亿设备处于风险之中。

很多人对系统漏洞的认知还停留在无非是弹点广告的层面，这次的两个漏洞完全不在一个量级。根据NVDB的通报，攻击者只需要通过短信、邮件甚至正规网页的嵌入代码投毒，诱导用户用Safari浏览器打开链接，就能通过WebKit引擎的底层缺陷切入系统，再串联其他权限漏洞拿到设备的最高控制权。通俗点说，只要你点了对方发来的链接，不需要下载任何APP，不需要输入密码，对方就能直接翻看你的所有聊天记录、相册、银行卡信息，甚至可以远程用你的手机转账、发消息，整个过程你可能完全没有察觉。

这次漏洞的覆盖范围也远超以往：Coruna漏洞影响iOS13.0到17.2.1的设备，DarkSword漏洞影响iOS18.4到18.7的设备，算下来从2015年发布的iPhone6s到2025年发布的iPhone 17系列，几乎所有还在服役的苹果移动设备都在受影响范围内，涉及国内数以亿计的用户。而且不同于以往只存在于实验室的概念性漏洞，此次NVDB明确监测到已有攻击者利用相关工具开展实际攻击，也就是说风险不是可能发生，而是已经在发生。

这次事件里，监管端的响应速度值得肯定。以往很多系统漏洞都是厂商自行发布公告，用户只有关注科技圈消息才会知道，而此次工信部直接通过官方公共平台发布预警，本质上是把移动终端安全纳入了公共安全的治理范畴——当一个安全隐患涉及数亿用户的财产隐私时，它就不再是用户个人的私事，也不是厂商自己的家务事，监管部门有义务提前介入，把风险告知所有普通用户。

苹果的应对也一改此前被诟病的挤牙膏、逼用户换新的形象。据《连线》杂志报道，4月1日苹果就同步推送了iOS18和iOS26的更新，过去几周还针对旧版系统推送了多次安全补丁，甚至专门为不愿意升级到最新iOS26的用户提供了向下兼容的安全更新。放在几年前，这种给发布了近10年的设备推送安全补丁的做法是很难想象的——此前苹果曾因为降频门被质疑故意让旧设备变卡促使用户换新品，而这次的应对显然是把用户安全放在了商业利益之前，哪怕会损失一部分新机换机需求，也要先兜住旧设备用户的安全底线，这种做法值得整个智能终端行业参考。

但哪怕监管和厂商都做足了准备，用户端的认知缺位依然是最大的风险点。我们日常接触的大量用户，看到系统更新提示的第一反应都是先放放，更了会卡、我又不上乱七八糟的网站，不会中招、更新太麻烦，等有空再说，这些侥幸心理恰恰是攻击者最喜欢的突破口。

先说更系统会卡的误区：这次推送的更新以安全补丁为主，没有新增冗余的功能，苹果还专门针对旧设备做了性能优化，几乎不会影响设备的运行速度，更不会出现越更越卡的情况。再说不会中招的侥幸：现在的网络投毒早就不是只放在非法网站上了，攻击者会把恶意链接伪装成运营商的积分兑换通知、快递的取件提醒、公司的工作邮件，甚至是朋友发来的聚会照片链接，普通人根本分辨不出来，只要点了用Safari打开就可能中招，和你上不上奇怪网站没有关系。至于嫌麻烦的心态，升级系统最多花10分钟，总比你银行卡被盗刷、隐私信息被泄露之后花几个月去维权要划算得多。

这次的漏洞预警其实给整个行业都上了一课。首先是智能终端厂商的安全责任边界：不能把所有安全风险都甩给用户不要点不明链接，而是要主动承担起旧设备的安全维护义务。现在很多安卓厂商的安全更新周期只有2-3年，千元机甚至只有1年，超过期限就不再推送安全补丁，相当于让用户的设备裸奔，这种为了促新机而放弃老用户安全的做法，本质上是不负责任的。苹果这次给发布了近10年的设备推补丁，其实是给行业划了一条底线：只要你的设备还有用户在用，你就有义务为它的安全负责。

其次是公共安全治理的前置化：这次工信部的预警不是等出现了大规模用户被盗的事件才发，而是监测到漏洞被利用就第一时间通报，这种治未病的思路，远比出事之后再追责要有效得多。未来如果能建立更常态化的漏洞通报机制，通过运营商短信、系统弹窗等方式直接把预警推送到用户手机上，就能把风险降到最低。

最后是用户安全认知的升级：很多人对手机安全的认知还停留在装个杀毒软件就行的阶段，事实上现在的底层系统漏洞攻击，杀毒软件根本防不住，最有效也最低成本的防护方式，就是及时安装官方推送的安全补丁。不要总觉得这种事轮不到我，在网络攻击面前，每个普通用户都是潜在的目标。

最后给所有苹果用户提三个具体的建议：第一，立刻查看自己的设备系统版本，如果在iOS13.0到17.2.1，或者18.4到18.7的范围内，尽快升级系统，要么更新到最新的iOS26，要么安装对应旧版本的安全补丁；第二，近期不要点击任何陌生短信、邮件里的链接，哪怕对方的身份看起来很正规，也尽量通过官方渠道核实之后再操作；第三，把系统里的自动安装安全补丁功能打开，不用每次手动操作就能第一时间补上漏洞。

移动互联网时代，我们的手机里装的不只是通讯录和照片，更是全部的身家性命。安全这件事，从来都没有侥幸的空间，你多花10分钟升级系统，就是给自己的隐私和财产多上了一道保险。

本文参考资料来自工信部网络安全威胁和漏洞信息共享平台、《连线》杂志、观察者网2026年4月3日公开报道。