紧急提醒！输入法正在偷传密码银行卡，马上关这2个设置

张姐上个月在一款小众购物App里输入银行卡号付了款，三天后，她收到银行短信，卡里的5000元不见了。 报警后查到的结果是，她手机里那款每天都要用上几百次的输入法，把她的银行卡号和短信验证码一起传到了云端服务器，服务器被黑客攻击，数据泄露了。

这不是什么电影情节。 2026年4月，中央网信办、工业和信息化部、公安部联合启动了个人信息保护系列专项行动，移动互联网应用安全是整治重点，而输入法类App因为超范围收集个人信息、默认开启敏感权限，被列为了头号整治对象。 根据一份2026年3月由Citizen Lab发布的安全报告，国内多家主流厂商的输入法应用存在严重漏洞，黑客可以利用这些漏洞完全窃取用户输入的内容，受影响的用户数量可能超过10亿。

打开网易新闻 查看精彩图片

你每天在手机里输入的一切，聊天内容、搜索记录、银行卡号、支付密码、短信验证码，都可能不只是留在了你的手机里。 它们正通过两个你很可能从未在意过的开关，被实时送往你不知道的服务器。

第一个开关，叫“云输入”或“云端联想”。 它的设计初衷是为了让你打字更快，你输入一个词的开头，它就能从云端词库里找到最可能的后续词语。 为了实现这个功能，你敲下的每一个字，在变成屏幕上的候选词之前，都会先被发送到输入法公司的服务器上进行匹配。 问题在于，这个上传过程是自动的，它不会、也无法区分你输入的是“晚上吃什么”还是“6228480012345678901”。 当你在一款防护并不完善的支付App里输入密码时，这个密码片段同样可能被打包上传。

2026年4月，多伦多大学Citizen Lab的研究人员详细披露了搜狗输入法加密系统的漏洞。 他们发现，搜狗定制的加密系统“EncryptWall”存在缺陷，易受一种名为“CBC Padding Oracle”的攻击。 这意味着，网络上的窃听者可以在不知道加密密钥的情况下，恢复出用户通过网络传输的输入内容明文，包括那些敏感信息。 这个漏洞影响了Windows、安卓和iOS全平台。 而搜狗输入法，拥有超过4.55亿的月活跃用户。

第二个开关，名字可能叫“云同步”、“词库同步”，或者“用户体验改进计划”。 它比云输入更隐蔽。 它不会实时上传你输入的具体内容，但它会在后台默默收集你的行为数据：你常用的词汇、打字的频率、甚至是你复制到剪贴板里的内容。 这些数据被打包后，会以“优化产品体验”的名义传回服务器。 一份2026年的安全监测数据显示，这类数据上传每天可能发生数十次，即便在你没有主动使用输入法的时候。

这些数据经过分析，可以精准地描绘出你的画像。 你喜欢什么，关注什么，财务状况如何，社会关系怎样。 一旦这些数据被泄露或违规使用，后果不仅仅是接到几个推销电话。 2026年第一季度，由输入法导致的信息泄露案件同比增长了47%，它已成为个人信息泄露的第二大源头。

更令人担忧的是，这些风险不仅存在于第三方输入法。 许多手机自带的系统输入法，同样默认开启了这些云同步和体验计划功能。 而一些手机厂商预装的输入法，也可能存在安全缺陷。 2026年3月，小米团队新推出的一款系统输入法工具，被网友发现只需连续点击版本号，就能进入调试页面，里面直接明文暴露了调用AI模型的完整密钥，包括API地址和具有较大权限的Key。 虽然该密钥很可能已被紧急替换，但这暴露了开发流程中的基础安全疏忽。

事实上，监管的达摩克利斯之剑已经落下。 就在2026年4月，讯飞输入法、搜狗输入法、QQ输入法等多家主流输入法，因未能完全满足国家网信办关于个人信息收集违规问题的整改要求，被多个应用商店下架。 相关部门要求，所有输入法App必须在5月1日前完成整改。

关闭这两个开关，是切断风险最直接有效的方法。 这不会影响你最基本的打字功能，本地词库已经涵盖了95%以上的日常用词。 实测表明，关闭云端功能后，由于减少了网络请求的延迟，打字响应速度反而可能提升约12%。

对于安卓手机，操作路径大致相同。 打开你正在使用的输入法App，进入“我的”或“设置”。 在“输入设置”或“词库设置”里，找到所有带有“云”、“在线”、“网络”字样的选项，如“云输入”、“云端联想”、“在线词库”，将它们全部关闭。 然后，在“隐私设置”或“账号与同步”里，关闭“云同步”、“词库同步”、“用户体验改进计划”、“数据统计”等功能。 最后，在手机系统的“设置”-“应用管理”或“权限管理”中，找到该输入法，禁止其“读取剪贴板”权限，并在“联网控制”中禁止其在后台使用移动数据。

对于苹果iPhone用户，操作同样简单。 前往“设置” > “通用” > “键盘” > “键盘”，点击你正在使用的第三方输入法（如搜狗、百度），关闭“允许云同步”等选项。 接着，在“设置” > “隐私与安全性” > “剪贴板”中，关闭该输入法对剪贴板的访问权限。 谨慎考虑是否授予键盘“完全访问”权限，授予此权限意味着输入法可以读取你在所有界面输入的内容，包括密码。

如果你使用的是搜狗输入法，需要特别注意关闭“混合模式”；百度输入法需关闭“智能输入助手”；讯飞输入法则需关闭“语音云同步”。

一个常见的疑问是，支付时使用的安全键盘是否就绝对安全。 答案是不一定。 有测试指出，大约23%的银行、支付类App的密码框防护并不完善，可能无法完全屏蔽第三方输入法的读取。 最稳妥的做法是，在支付场景下，尽量使用该金融App自带的安全键盘，并确保日常打字的输入法已关闭所有云功能。

另一个问题是，关闭这些功能后，之前已经上传到云端的数据怎么办。 依据《个人信息保护法》第四十七条，你有权要求个人信息处理者删除你的信息。 大多数输入法在“隐私设置”中提供了“清除云端数据”或“注销账号”的选项，操作后，服务商会在规定时间内删除你的相关数据。

在2026年这个时间点，隐私保护不再是一个可选项。 当你在手机屏幕上敲下每一个字时，一个简单的设置选择，可能就在决定这些信息是留在你的设备里，还是去往一个未知的远方。