你试过这样吗?

在Privacy & Security里,把某个应用的Documents访问权限关掉——然后,它依然能打开你的文件。

别怀疑自己的眼睛。

AI配图

这不是Bug。这是macOS的“设计特性”。

最近,安全研究员Howard Oakley发现了一个让所有Mac用户脊背发凉的问题:你在隐私设置里看到的权限状态,和应用实际拥有的权限,很可能完全是两码事。

一个让你后脊背发凉的演示

Oakley写了一个叫Insent的小工具,只有六个按钮,专门用来演示这件事。

AI配图

他测试了这样一个场景:

  1. 打开Insent,点"Open by consent"(需要用户同意才能访问Documents)
  2. 系统弹出提示,你点了同意——Insent成功读取了Documents里的文件
  3. 你打开Privacy & Security → Files & Folders,确认Insent有Documents访问权限
  4. 你觉得不对劲,把权限关掉——设置界面显示"No Access"
  5. 你再次打开Insent,点"Open by consent"
  6. 失败了,显示"Couldn't get contents of Documents folder"

到这里,似乎一切正常。

但接下来的操作开始离谱:

  1. 点"Open from folder",在弹出的文件选择器里手动选中Documents文件夹
  2. Insent成功读取了文件——即使设置界面明确显示它没有权限
  3. 再点"Open by consent",也能读取了
  4. 回头去看设置界面——依然是"No Access"

也就是说,只要你通过文件选择器“主动”选过一次Documents文件夹,应用的访问权限就被“偷渡”进去了,而且再也出不来了

你在设置里看到的“已关闭”,只是苹果给你看的幻象。

唯一的解决办法? Terminal + 重启

更离谱的是,想把这个权限真正撤销掉,常规方法根本没用。

你必须在Terminal里执行:

tccutil reset All co.eclecticlight.Insent

然后重启电脑

就为了撤销一个文件夹的访问权限,你需要敲命令行加重启——这正常吗?

有用户在评论区说得好:

“这感觉就像苹果故意设的陷阱,等你亲手把访问权送给应用,然后再也拿不回来。”

有人已经中招了

Oakley的发现引发了大量实测。

“Eye-opening findings. After reading the article I revoked every folder permission and tested: Insent still reads Documents even when the UI shows ‘None’. This is a serious trust failure; transparency is supposed to be the whole point of those preference panes.”

AI配图

翻译:实测确认。撤销权限后UI显示"无访问",但Insent照读不误。这是对透明度的严重打脸。

还有用户发现,不只是Documents——Desktop、Downloads,所有受TCC保护的文件夹都存在这个问题。

更有人爆料:自己在"Full Disk Access"里看到一堆从未授权的应用(Anki、WhatsApp、Microsoft Autoupdate),toggle是灰的,但它们就是有完整访问权限。

“macOS的沙盒系统让我产生了Windows UACPTSD。它在发明一个本来不存在的问题,然后让用户为授权疲劳。”

这是热评里获得最高赞的一条。

漏洞还是特性?苹果没说

这到底是有意设计,还是安全漏洞?

Oakley在文章里猜测:

“很难相信这是故意用来诱导用户交出控制权的。但它确实能造成这种后果。”

从技术角度看,当用户通过Open and Save Panel主动选择文件夹时,系统会认为这是“用户意图”(user intent),于是解除sandboxd对该请求的拦截。

问题是:这个权限变更并不会同步到Privacy & Security界面。

UI显示的是一套,实际执行的是另一套。

有评论指出,问题的根源可能是macOS在Documents文件夹上设置了一个叫com.apple.macl的扩展属性,而这个属性在SIP(系统完整性保护)启用时根本无法被移除。

换句话说,权限一旦给出,可能就真的收不回来了——至少不是以苹果希望的方式。

那iOS呢?

评论区有人问了关键一句:

“could the same be said of iOS?”

iOS的权限系统更封闭,但底层同样是TCC机制。如果Mac上能实现这种“绕过”,iOS理论上也不会安全到哪里去。

只不过,在iOS上你很难写个Insent来验证这件事——这才是苹果的“聪明”之处。

【锐评】:苹果引以为傲的隐私控制面板,实际上是个“只读”的装饰品——你看到的权限,可能是系统演给你看的一场戏。

参考链接:
https://eclecticlight.co/2026/04/10/why-you-cant-trust-privacy-security/