Edge密码明文存内存，微软称"设计如此"

浏览器保存密码的方式，通常被认为是安全的最后一道防线。但一位安全研究员发现，Edge在启动时会一次性解密所有凭据，并以明文形式驻留在内存中——包括那些你当天根本没访问的网站。

研究员的发现：启动即解密全部密码

挪威网络安全研究员Tom Jøran Sønstebyseter Rønning在X平台发布技术线程，详细披露了Edge的密码处理机制。他的测试显示，浏览器启动时会解密"every credential at startup"，随后将这些密码保持在进程内存中。

更关键的是，这一行为不受用户实际访问行为影响。"即使某个网站你当天完全没有打开，它的密码也会被解密并载入内存，"Rønning解释道。

他在测试中对比了多款基于Chromium内核的浏览器，结论指向明确：「Edge is the only Chromium-based browser I've tested that behaves this way」。Chrome、Brave、Opera等同类浏览器均未表现出相同特征。

技术层面，这一机制意味着攻击者一旦获得终端服务器的管理权限，即可"access the memory of all logged-on user processes"——读取所有已登录用户的进程内存。在共享环境如企业终端服务器、学校机房等场景中，一个拥有管理员账户的攻击者，可以横向获取其他同时在线用户的全部密码。

攻击路径：共享环境中的横向渗透

Rønning描述的威胁模型针对特定场景设计。攻击者首先需要突破第一道防线：获得系统的管理权限。这本身已是重大安全事件，但Edge的明文存储机制将损害进一步扩大。

传统密码管理器或浏览器密码库通常要求二次认证——主密码、生物识别或硬件密钥。即使攻击者已控制机器，提取密码仍需额外步骤。Edge的"by design"机制则取消了这层缓冲：密码以可读的明文形式漂浮在内存中，等待被读取。

企业环境的风险尤为突出。终端服务器架构下，数十至数百用户共享同一物理硬件，各自会话隔离但共存于统一内存空间。管理员账户本可维护系统，而Edge的设计让这一权限意外获得了"读取所有人密码"的副作用。

个人用户同样面临场景化风险。家庭共享电脑、图书馆公共终端、酒店商务中心——任何多账户登录同一设备的场合，先登录者的密码都可能被后获得管理员权限的会话提取。

微软的回应：已知，且是故意的

Rønning披露，他已通过正规渠道向微软报告此问题。收到的回复是：该行为属于"by design"——设计如此，并非漏洞。

这一回应将技术讨论推向产品哲学层面。安全机制的设计永远在便利性与防护强度之间取舍。Edge选择启动时预解密全部密码，换取的是用户访问网站时的瞬时自动填充体验；其他Chromium浏览器选择在需要时即时解密，牺牲毫秒级响应换取内存中不常驻明文密码。

微软的判断基于威胁模型的差异：若攻击者已获管理员权限，系统已沦陷，密码安全属次要问题。Rønning的反驳聚焦于"已知风险"与"新增风险"的区别——管理员权限确实危险，但Edge的设计将这一危险转化为"批量密码提取"的确定性能力，而非传统意义上的系统破坏。

时间线显示，这一"特性"并非新发现。X用户LopezLuccio666在相关线程中回应，称其已于2025年9月向微软报告同一问题。六个月过去，机制未变，官方定性未变。

对比：其他浏览器如何处理

Rønning的测试样本覆盖主流Chromium系浏览器。Chrome作为同源内核的参照，未表现出启动即全量解密的行为；Brave、Opera等衍生产品同样未复制Edge模式。

这一差异指向微软的独立开发决策。Chromium开源项目提供密码管理的基础框架，但具体实现——何时解密、解密范围、内存驻留策略——由各发行版自主定义。Edge团队选择了激进预加载策略，竞争对手选择了按需解密。

非Chromium浏览器如Firefox、Safari的架构差异更大，直接对比意义有限。但行业基准认知中，"内存中不常驻明文密码"是密码管理器的通用设计原则。Edge的偏离因此显得突兀。

用户侧的可感知差异在于自动填充速度。Edge的预解密机制消除了密钥派生和解密计算的延迟，复杂主密码场景下优势更明显。这一优化是否值得承担内存明文暴露的风险，微软的"by design"答复暗示其产品团队已做出肯定判断。

用户能做什么：有限的规避选项

对于已依赖Edge密码管理器的用户，完全规避这一机制的选择空间有限。浏览器未提供"禁用启动预解密"的开关，密码存储行为属于封闭实现。

替代方案指向第三方密码管理器。1Password、Bitwarden、KeePass等产品采用不同的安全模型：主密码验证前，密码库保持加密状态；即使内存被读取，获取的也是密文而非明文。这些工具与Edge的集成可通过扩展实现，牺牲部分自动填充流畅度换取防护层级提升。

企业IT管理员可考虑组策略限制。Edge支持通过Windows管理模板控制密码管理器功能，完全禁用内置密码存储可消除风险——但将用户推向更弱的密码实践（重复密码、简单密码、浏览器外明文记录）。

终端服务器场景的缓解措施更为明确。限制同时登录用户数、启用Credential Guard等硬件级隔离技术、监控异常内存访问行为，均可降低Rønning描述攻击路径的可行性。但这些属于基础设施加固，不解决Edge设计本身的问题。

行业语境：浏览器密码管理的信任危机

Edge此次争议置于更广泛的信任衰减背景中。浏览器厂商持续扩展密码管理器功能，从简单的表单填充演进为跨设备同步、密码健康度检查、泄露监控等综合服务。功能堆叠的同时，安全架构的透明度并未同步提升。

用户通常假设：浏览器密码与专用管理器"足够接近"安全。Rønning的发现揭示了这一假设的脆弱性——便利优先的设计哲学，在特定威胁模型下会产生专用工具不会引入的暴露面。

微软的"by design"回应亦引发标准之争。若启动全量预解密被接受为合理设计，其他厂商可能跟进以竞争性能指标；若业界反弹强烈，Edge可能面临反向调整压力。目前Chromium生态的分化状态——Edge独行，其他浏览器保守——暗示这一设计尚未成为共识。

密码管理器的终极安全承诺是"即使设备被入侵，密码仍受保护"。Edge的机制削弱了这一承诺的绝对性：设备级入侵（管理员权限获取）直接降级为密码级入侵。对于将浏览器密码作为唯一或主要凭据存储的用户，这一降级意味着安全模型的根本重构。

数据收束：Rønning的测试样本量、LopezLuccio666的2025年9月报告时间戳、微软"by design"的定性回复，构成评估此事的三元坐标。技术社区的反应、企业用户的实际风险暴露、竞品浏览器的行为差异，将在后续季度决定这一设计是被重新定义为漏洞，还是被接受为Edge的差异化特性。当前可确认的事实是：Edge的内存中确实存在用户全部密码的明文副本，从浏览器启动持续到进程结束，这一行为已被微软确认为 intentional 而非 oversight。