苹果隐私:你的 Mac 真的安全吗?
苹果多年来一直宣称自己是重视隐私的公司。与谷歌或微软相比,苹果在很多方面做得不错。应用追踪透明、隐私标签、Siri 的本地处理——这些都是实质性的进步。但市场宣传与现实之间仍有差距,尤其是在 Mac 方面。 macOS 上的苹果隐私存在一个根本性问题:内置的防火墙只阻止入站连接。这意味着,防止外部访问你的 Mac——这点是好的。但它不控制你的 Mac 向外发送的数据。每个应用、每个后台进程都可以无阻碍地向任意服务器发送数据。而它们确实在这么做。 应用商店中的隐私标签是另一例,虽然是善意的,但不够充分。它们依赖开发者的自我申报。苹果不会系统性地验证这些信息的真实性。研究反复显示,许多应用收集的数据远超其标签所示。且在 Mac 上,许多应用并非都来自应用商店,因此没有标签。 大多数 Mac 用户不知道的是:即使在正常使用中,你的 Mac 也会建立数百个连接。macOS 会定期联系苹果服务器——用于证书验证、Spotlight 建议、Siri 分析等。所有已安装的应用也会在后台建立连接,连接到数十个追踪域名,而你可能毫无察觉。 这并不意味着苹果不好。macOS 仍然是较安全的操作系统之一。但“比 Windows 更安全”并不等于“绝对安全”。如果你真的关心互联网隐私,就需要超越出厂设置。这个指南正是为此而设。
Mac 上的隐私设置——你应立即更改的内容
在安装额外工具之前,先利用 macOS 已提供的隐私设置。打开系统偏好设置,进入“隐私与安全”。这里有一长串权限:位置服务、麦克风、摄像头、屏幕录制等。逐一检查每个类别,撤销不需要的权限。比如,Spotify 需要位置权限吗?不需要。Chrome 需要访问你的联系人吗?绝对不需要。 特别重要的是:在“分析与改进”中,关闭所有选项。macOS 会将使用数据发送给苹果——据称是匿名的,但研究显示,即使是匿名数据也常常可以重新识别。在“苹果广告”中,关闭个性化广告。在“位置服务”中,可以限制系统范围的定位访问,或逐个应用控制。 接下来是许多指南忽略的关键点:启用防火墙。进入“隐私与安全”→“防火墙”,开启它。这比没有好,因为它可以阻止不想要的入站连接。还应启用隐身模式,让你的 Mac 不响应 Ping 请求。但——重要的是:不要幻想防火墙能阻止所有威胁。内置的防火墙只控制入站连接,出站流量仍然可以自由发送。 Safari 设置也很重要。如果你使用 Safari,进入偏好设置→“隐私”,启用“阻止跨站追踪”。同时启用“隐藏 IP 地址”。这些措施有用,但只对 Safari 生效。Chrome、Firefox 和其他应用不会受到影响。Spotlight 建议会默认将搜索请求发送给苹果——你可以在“ Siri 与 Spotlight”中禁用。 所有这些隐私设置都是良好的起点,建议你都要开启。但它们都依赖信任:相信应用会尊重权限,信任“关闭分析”意味着不会发送数据。要实现真正的控制,你需要一个能在网络层面观察和决定的工具。正是在这里,出站防火墙如 NetMute 派上用场——它会显示每个连接,让你决定允许或阻止。
防火墙的作用以及内置防火墙的不足
防火墙到底做什么?它本质上是你网络的门卫。它决定哪些连接被允许,哪些被阻止。但不是所有防火墙都一样。macOS 内置的防火墙是入站防火墙——它控制谁可以从外部访问你的 Mac。这在公共 Wi-Fi 中很有用,可以防止别人扫描开放端口。这当然很重要,但只是一半。 macOS 不提供出站防火墙——也就是控制你的 Mac 向外发送的内容。这才是更关键的部分,关系到隐私。因为,2026 年,威胁你的隐私的很少来自外部黑客入侵,而多来自后台应用向服务器发送遥测、使用统计和追踪信息。你安装的每个应用都可能在发送数据——大多数都在这么做。 要理解问题的严重性,你应测量带宽,观察网络流量。不仅是速度,还要看每个连接。NetMute 的流量监控可以实时显示每个应用建立的连接和传输的数据量。这常常令人震惊:你以为“离线”的应用突然向分析服务器、广告网络或云服务发送数据,甚至你从未听说过的服务。 最好的 Mac 防火墙是按应用控制的。你希望 Safari 可以联网,但不希望 PDF 阅读器“回家”。你希望邮件客户端收取邮件,但不希望它偷偷向分析服务发送使用数据。NetMute 就是这样:你可以为每个应用单独设置是否允许连接。它还配备追踪器屏蔽,自动阻止已知追踪域名——跨所有应用。 也许你会问,Little Snitch 或 Lulu 是否也能做到。它们确实存在,且都很可靠。不同之处在于:NetMute 采用不同的策略:它用简单的应用级防火墙结合策划的追踪器阻止列表,而不是用数百个对话框轰炸你。追踪器屏蔽在后台自动运行,而你只需控制应用的连接权限。这样,你可以获得最大控制,而无需应对繁琐的配置。
VPN、DNS 加密和网络分析:哪些才是真正有用的?
VPN 是许多 Mac 用户的标准隐私工具。它可以加密你的流量,隐藏你的 IP 地址,保护你在咖啡馆 Wi-Fi 中免受他人窃听。对于地理限制和基础加密,VPN 很有用。但——重要的是:VPN 不阻止追踪器。 如果后台应用向 analytics.example.com 发送数据,即使通过 VPN 隧道,数据仍会到达目标。流量被加密,IP 被隐藏,但数据本身仍然会传输。VPN 只改变数据的“出发点”。要实现真正的隐私,还需要更多措施。 DNS 加密是另一个常被推荐的工具。默认情况下,DNS 请求是未加密的——你的互联网提供商(ISP)和网络中的其他人都能看到你访问的域名。使用 DNS over HTTPS(DoH)或 DNS over TLS(DoT)可以加密请求。Cloudflare(1.1.1.1)和 Quad9 提供此功能。macOS 从 Ventura 开始支持原生 DNS 加密,通过配置文件实现。这是个合理的步骤,但也有局限:DNS 加密只防止别人窃听你的 DNS 请求,不阻止连接的建立。 要真正理解你的 Mac 上发生了什么,你需要网络分析工具。NetMute 就像是你的网络流量的 X 光机。内置的流量监控实时显示每个连接——应用、服务器、数据量。这样,你不仅可以测量带宽,还能看到哪些应用在建立可疑连接。只有看到真实情况,你才能做出明智的决策。 理想的组合是:用 VPN 进行基础加密和 IP 隐藏;用 DNS 加密保护域名解析;用 NetMute 作为出站防火墙和追踪器阻止器,控制应用的连接。这三层相辅相成:VPN 保护隧道,DNS 加密确保域名解析安全,NetMute 控制数据流出。合在一起,形成一个远超单一方案的隐私保护堆栈。
儿童保护、智能家居与完整的隐私保护堆栈
如果你有孩子共用 Mac,隐私保护变得更为重要。macOS 的儿童保护功能通过屏幕时间和内容过滤提供基础保护,但它们基于 URL,容易被绕过。更有效的方法是应用级防火墙:用 NetMute,可以完全阻止特定应用的网络访问。后台加载广告的游戏?阻止。未经控制的社交媒体应用?只在你允许时才允许。这不能替代真正的儿童保护,但提供了另一层难以绕过的网络级控制。 另一个常被忽视的话题是 Alexa 隐私和智能家居。如果你有 Alexa 设备、HomeKit 配件或其他 IoT 设备,它们会不断与云端通信。你无法在 Mac 上用 NetMute 阻止这些,但可以阻止 Mac 上的应用连接到追踪网络,从而间接保护你的智能家居设备。对于整个家庭网络,使用 Pi-hole 或支持过滤的路由器作为补充会更好。关键是:隐私不是单一工具,而是多层次的模型。 你的完整 Mac 隐私保护堆栈应包括:首先,优化 macOS 的隐私设置——限制位置、关闭分析、关闭广告、启用内置防火墙。其次,安装 NetMute——应用级防火墙、追踪器屏蔽、流量监控,提供全面透明。第三,使用可信的 VPN,确保加密隧道和 IP 隐藏,尤其在陌生网络中。第四,配置 DNS 加密——通过 Cloudflare 或 Quad9 的 DoH,防止 DNS 被窃听。 这个堆栈听起来繁琐,但在日常中几乎无感。macOS 设置一次,完成。NetMute 静默运行在菜单栏,自动阻止追踪器——你只需打开流量监控,便能看到阻止的连接数。VPN 自动连接,DNS 加密在后台工作。一旦设置完毕,你的 Mac 不仅在纸面上,而是真正地保护你的隐私。 最棒的是:你无需成为 IT 专家。按照本指南,10 分钟内即可完成 macOS 设置。NetMute 一次性收费 9.99 欧元——无订阅,无隐藏费用,2 分钟内即可安装。VPN 每月几欧元即可拥有。每年不到 100 欧元,你就能拥有一个大部分日常追踪的隐私保护堆栈。虽然不完美——没有绝对的隐私——但远比出厂设置强得多。这才是重点:不是追求完美,而是有意识地控制你的 Mac 发送了什么,以及发给谁。