iPhone “暗剑” 漏洞实战：零点击风险与防护指南

近期，苹果 iOS 系统曝出高危漏洞 CVE-2026-20643，安全圈将其命名为 “暗剑”，这一致命级漏洞已被境外黑客组织规模化利用，国内超 4.2 万台 iPhone 已被监测到失陷，超 3 亿台在用设备面临风险，成为当前最需警惕的网络安全威胁。
漏洞核心：WebKit 内核的安全防线失守
“暗剑” 漏洞源于苹果 Safari 浏览器的 WebKit 渲染引擎，本质是 Navigation API 跨源验证缺陷。正常情况下，浏览器同源政策能限制不同网站数据交互，而该漏洞允许恶意网页绕过规则，非法访问用户敏感信息。无需下载 App、无需输入密码，甚至不用主动点击恶意链接，仅通过短信、微信、抖音等平台的恶意链接，或正规网页被投毒访问，就能触发攻击，实现 “零点击” 入侵。
攻击成功后，黑客可获取相册、通讯录、支付密码等隐私数据，远程开启摄像头与麦克风监控，甚至拦截短信验证码实施金融诈骗，危害覆盖隐私泄露、财产安全等多个维度。从机型覆盖看，iPhone 8、X、XR、XS 至 iPhone 15 全系列均受影响，iOS 13 到 iOS 17.2.1 版本无一幸免，老旧机型与新机型均无豁免。
实战应对：三步筑牢防护屏障

立即升级系统：这是唯一彻底修复方案。iPhone 11 及后续机型需升级至 iOS 26.4，XR/XS 机型可安装 iOS 18.7.7 补丁，部分机型需更新至 iOS 17.3 及以上版本。更新路径为 “设置 - 通用 - 软件更新”，优先选择官方推送的后台安全改进补丁，无需重启即可完成修复。
谨慎处理链接：陌生短信、邮件中的不明链接一律拒绝点击；微信、支付宝等内置网页访问时，警惕诱导跳转的 “银行通知”“社保异常” 等内容；不随意点击不明来源的二维码、短链接，从源头降低中招概率。
强化日常防护：无法及时更新的用户，可关闭 Safari 的 JavaScript 功能，限制第三方 App 内置网页的权限；开启双重认证，即使账号被盗也能保障资金与数据安全；定期在 “设置 - 隐私与安全性” 中检查权限管理，关闭不必要的摄像头、麦克风授权。

当前，“暗剑” 漏洞攻击已从技术演练转向规模化实战，每一位 iPhone 用户都需重视防护。系统更新不是 “可有可无”，而是守护隐私与财产的关键防线。及时更新、谨慎链接，才能让手机远离 “暗剑” 威胁，守住日常使用的安全底线。