iCloud+ 的“隐藏邮件地址”功能存在漏洞:安全研究员 Tyler Murphy 发现,利用该漏洞可在约五分钟内从随机生成的别名反查出用户的真实 iCloud 邮箱,测试成功率达 100%。 苹果在 2025 年 6 月获悉此漏洞,2026 年 3 月声称已修复,但实际上漏洞依然存在,至今(2026 年 7 月)仍未真正修补。

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What vulnerability has persisted for over a year in Apple's Hide My Email feature, how does it un. Article summary: Here is the full fact-checked breakdown of the Hide My Email vulnerability, Apple's response, and the broader privacy concerns.. Topic tags: general, general web, user generated, government. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it usef
苹果 iCloud+ 订阅中的“隐藏邮件地址”(Hide My Email)功能本意是让用户生成一次性的匿名邮箱地址,所有发往该地址的邮件都会转发到用户的真实收件箱,而真实地址永远不会暴露。然而,一项存在超过一年的安全漏洞彻底打破了这一隐私承诺——攻击者只需几分钟就能从随机别名反查出用户的真实 iCloud 邮箱,而苹果至今未能真正修复。
安全研究员、数据清除服务公司 EasyOptOuts 联合创始人 Tyler Murphy 发现了一个漏洞,允许攻击者从“隐藏邮件地址”生成的随机别名反向推导出用户的真实 Apple ID 邮箱 。在与科技媒体 404 Media 联合进行的测试中,一个全新创建的隐藏邮箱地址在约 五分钟 内就被成功溯源到对应的真实 iCloud 邮箱
。该漏洞对两种类型的生成地址(
@icloud.com 和 @privaterelay.appleid.com)均有效,在测试中针对新创建别名的成功率高达 100% 。
“隐藏邮件地址”是 iCloud+ 付费订阅的核心隐私功能之一,宣称能让用户创建一次性、匿名的邮箱地址,转发邮件时绝不暴露真实地址 。这个漏洞 彻底破坏了这一承诺:任何能够接触到用户生成别名的人——无论是网站、数据掮客还是恶意攻击者——都有可能发现用户的真实邮箱,从而使该功能在隐私保护、反追踪和防垃圾邮件方面的效果完全失效
。
@private.icloud.com,取代之前 @icloud.com 和 @privaterelay.appleid.com 并存的状况 这一变更 并未修复 底层的安全漏洞。相反,它以另一种方式 让隐私保护变得更糟 。此前,一个“隐藏邮件地址”别名(例如
abc123@icloud.com)与普通个人 iCloud 邮箱地址 毫无区别,网站无法判断用户是否在使用匿名功能 。而新域名
@private.icloud.com 则 明确标记了每一个地址都是隐私别名,使得任何网站或服务都可以轻易地 屏蔽、标记或拒绝匿名注册 。隐私倡导者指出,这一改动“彻底消除了原有的模糊性”,让该功能的核心用途大打折扣
。
截至 2026 年 7 月 1 日,核心漏洞仍未得到修补——距离最初披露已超过一年 。
苹果在超过一年的时间里未能真正修复这一反向溯源漏洞——尽管 2026 年 3 月曾声称已修复——这引发了外界对其安全响应流程的质疑,以及 iCloud+ 隐私功能是否得到了足够的工程关注 。
2026 年 3 月,多家媒体报道称,在一起威胁调查中,苹果 向 FBI 提供了与“隐藏邮件地址”别名关联的真实 iCloud 邮箱 。法庭文件显示,苹果交出了至少两名使用了该功能的 iCloud+ 订阅用户的身份信息
。尽管苹果的服务条款一直允许在合法请求下进行此类披露,但这一事件揭示了苹果 能够 并且 将会 交出多少信息——包括别名与真实账户之间的映射关系
。这与该功能“匿名”邮件掩藏的营销印象背道而驰,进一步削弱了用户对其隐私声明的信任
。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
iCloud+ 的“隐藏邮件地址”功能存在漏洞:安全研究员 Tyler Murphy 发现,利用该漏洞可在约五分钟内从随机生成的别名反查出用户的真实 iCloud 邮箱,测试成功率达 100%。
iCloud+ 的“隐藏邮件地址”功能存在漏洞:安全研究员 Tyler Murphy 发现,利用该漏洞可在约五分钟内从随机生成的别名反查出用户的真实 iCloud 邮箱,测试成功率达 100%。 苹果在 2025 年 6 月获悉此漏洞,2026 年 3 月声称已修复,但实际上漏洞依然存在,至今(2026 年 7 月)仍未真正修补。
苹果唯一公开的应对措施——将新别名域名改为 @private.icloud.com——并未修复漏洞,反而让网站和服务可以轻松识别并屏蔽所有匿名邮箱,被批评为“让隐私更糟”的改动。