macOS Tahoe三处安全升级：苹果终于把FileVault默认打开了

苹果最近向媒体展示了macOS Tahoe的三项新安全功能。这些改动针对的是日常使用中容易被忽视的风险点——从设备加密到命令行防护，覆盖了几类典型的攻击场景。

FileVault默认开启，密钥管理换地方了

macOS Tahoe首次将FileVault设为默认启用。这项磁盘加密技术并非新功能，但过去需要用户手动打开，很多人并不知道它的存在。现在新激活的Mac会直接加密内部存储，设备丢失或被盗时，数据无法被直接读取。

如果用户想关闭，可以进入系统设置 > 隐私与安全 > FileVault操作。但苹果显然不鼓励这样做——这会移除一层关键防护。

FileVault的解锁依赖用户账户密码。万一忘记密码，需要用到恢复密钥。这个密钥的存放位置在Tahoe中发生了变化：以前存在iCloud，现在移到了Passwords应用。只要用同一Apple账户登录，iPhone、iPad或其他Mac上都能查到。

查找方式：在Passwords应用的左侧栏点击"全部"（iPhone/iPad则进入Passwords界面后点"全部"），搜索Mac的名称。如果记不清设备名，直接搜"FileVault"或"Recovery"也能找到。

终端粘贴警告，针对社会工程攻击

攻击者常用的一招是通过邮件或消息，诱导用户把恶意命令复制粘贴到终端（Terminal）。这个命令行工具藏在应用程序 > 实用工具文件夹里，普通用户不熟悉它的语法，很难判断一条命令的实际作用。

macOS Tahoe 26.4加入了一个简单但有效的拦截机制：检测到粘贴操作时，终端会弹出警告。用户仍然可以选择继续，但至少有了一个停顿和反思的机会。

对于频繁使用终端的开发者，这个警告可能会增加一步操作。但考虑到攻击者越来越依赖"复制这段代码"的话术，这种 friction 的设计有其合理性。

三项改动的共同逻辑

把这三项功能串起来看，苹果的安全策略很清晰：减少用户需要主动做的决定，把防护嵌入默认流程；同时改善关键凭证的可访问性，避免"为了安全而把自己锁在外面"的情况。

FileVault默认化降低了加密的使用门槛；Passwords应用集成解决了"密钥放在哪"的混乱；终端警告则是在最危险的操作环节插入了一个检查点。这些都不是技术突破，而是产品层面的取舍——用轻微的不便换取显著的安全收益。

对于从旧版macOS升级的用户，FileVault不会自动打开，需要手动启用。新购设备则会直接进入加密状态。这个区分处理兼顾了老用户的习惯和新用户的保护需求。