DarkSword 困境：新型 iPhone 漏洞如何绕过苹果的严密防御

DarkSword 黑客攻击针对数百万台运行 iOS 18.4-18.6.2 的 iPhone。了解这一 WebGPU 漏洞如何在数秒内窃取数据，以及如何保护您的设备。

2026年3月19日

你是否曾想过，你的生活中有多少内容被藏在智能手机的硅片口袋里？对于我们大多数人来说，iPhone 不仅仅是通讯工具；它们是我们数字生存的中枢神经系统，存储着从亲密对话到实时位置数据的一切信息。然而，一项名为“DarkSword”的惊人网络安全新发现，目前正挑战着苹果生态系统被公认为坚不可摧的神话。

来自 Google、Lookout 和 iVerify 的网络安全研究人员最近对一项针对全球数百万台设备的复杂黑客活动发出了警报。与传统的在设备上停留数周以收集数据的恶意软件不同，DarkSword 是一种“击完即走”（hit-and-run）的操作。它以极高的精度进行打击，在数秒内窃取敏感信息，然后消失得无影无踪。

“击完即走”攻击剖析

奇怪的是，DarkSword 攻击并不需要用户下载可疑文件或点击明显的钓鱼链接。相反，它利用了 Safari（苹果默认浏览器）中一个高度特定且复杂的漏洞。主要的切入点涉及 WebGPU，这是一种旨在网页上提供高性能 3D 图形和计算的变革性图形功能。虽然 WebGPU 旨在开启基于浏览器的游戏和可视化新时代，但它却在无意中为攻击者提供了一座危险的桥梁，绕过了 iPhone 的内核保护。

一旦用户访问了受感染或恶意的网页，漏洞就会触发。在不到一分钟的时间内，脚本就会识别并复制短信、电子邮件和精确的位置历史记录。换句话说，当你读完一篇新闻文章时，你的个人数据可能已经存储在地球另一端的远程服务器上了。

严峻的规模：2.21 亿台设备面临风险

这一漏洞的规模尤其令人清醒。根据 iVerify 的数据，全球约 14% 的 iPhone 用户群目前运行着受影响的软件版本——具体为 iOS 18.4 至 iOS 18.6.2。这相当于大约 2.21 亿台设备。然而，威胁可能更加广泛；如果操作系统的旧版本或稍新迭代版本共享相同的 WebGPU 实现缺陷，这一数字可能会攀升至惊人的 2.7 亿。

在我多年在科技初创公司工作的经历中，我经常看到组织如何像生物体一样运作。当一个重要器官（如用于远程工作的移动设备）受损时，感染会迅速蔓延到企业身体的其余部分。在本世纪初大规模向远程工作转型的过程中，手机成为了多因素身份验证和内部沟通的主要网关。这种规模的违规行为不仅是个人隐私问题，更是现代职场的系统性风险。

为什么检测是一项微妙的挑战

让 DarkSword 特别阴险的是它的“幽灵”足迹。传统的杀毒工具通常寻找持久性文件或异常的后台进程。相比之下，DarkSword 完全在浏览器的临时内存中运行。一旦数据窃取完成，该漏洞就会执行自删除命令，擦除设备日志中所有入侵证据。

结果，许多受害者甚至永远不会知道自己被盯上了。这种复杂程度表明，DarkSword 背后的操纵者并非普通的脚本小子，而极可能是一个资金充足、对苹果内部安全架构有深入了解的组织。他们没有将这些安全防御视为墙壁，而是将其视为可以根据自身目的重新排列的积木。

远程办公时代的教训

管理远程团队教会了我，安全既关乎代码，也关乎文化。我记得在一次企业转型期间，一位高级管理人员的手机通过类似的基于浏览器的漏洞遭到了入侵。我们花了几天时间试图追踪泄露源，结果发现“入口点”只是午休期间访问的一个看起来无害的食谱网站。

这段经历突显了现代网络安全微妙的现实：我们往往在最舒适的时候最脆弱。DarkSword 活动正是利用了这种舒适感，将常规的网页浏览变成了一场高风险的数据泄露。它提醒我们，通往真正安全的数字生活之旅永无止境；这是一个持续进化的过程。

如何保护您的设备

虽然情况严重，但并非没有希望。苹果以对零日漏洞的快速响应而闻名，补丁可能已经在开发中或已在最新的测试版周期中部署。为了保护您的数据，请考虑以下紧急步骤：

立即更新： 检查您的“设置” > “通用” > “软件更新”。如果您使用的是 iOS 18.4 至 18.6.2，请立即更新到最新的可用版本。
启用锁定模式： 如果您是高风险个人（记者、活动家或企业高管），苹果的“锁定模式”通过禁用 WebGPU 等复杂的网络功能，提供了一层创新的保护。
清除 Safari 数据： 定期清除历史记录和网站数据（设置 > Safari > 清除历史记录与网站数据）有助于破坏某些持久性追踪机制。
使用备用浏览器： 虽然大多数 iOS 浏览器使用相同的基础引擎，但使用 Brave 或 Firefox Focus 等注重隐私的浏览器有时可以提供不同的沙箱行为。