如果你是 iCloud+ 的订阅用户,在 iCloud 设置页面里应该见过一个叫「隐藏邮件地址」的功能。
这个功能可能很多人开通了 iCloud+ 之后都没怎么用过,但它确实是苹果在隐私保护方面做得比较实用的一项能力。

简单来说,「隐藏邮件地址」可以为你生成一个随机的隐私邮箱地址,你拿它去注册网站、接收邮件,所有发到这个地址的邮件都会自动转发到你的真实邮箱里。

而且这个真实邮箱不一定非得是 iCloud 邮箱,你 Apple 账户绑定的任何邮箱都可以。隐私邮箱数量也没有限制,想建多少建多少。
这个功能的好处是,用隐私邮箱去注册某个 App 或者网站,等你不用了,直接把这个地址停用就行,干净利落,也不会暴露你的主邮箱。既能避免别人通过邮箱关联到你,也能有效减少垃圾邮件。
但就是这么一个主打隐私保护的功能,现在却因为一个安全漏洞,让苹果被告上了法庭。
## 漏洞:隐私邮箱能被反查出真实邮箱
根据报道,安全研究人员 Tyler Murphy 早在 2025 年 6 月就向苹果报告了这个漏洞。

漏洞的核心问题是:通过「隐藏邮件地址」生成的随机隐私邮箱,可以被利用者几乎轻易地反向还原出背后的真实邮箱地址。
出于安全考虑,漏洞的具体利用方式没有被公开。但 404 Media 最近已经独立验证了这个问题的真实性。Murphy 在志愿者测试中发现,100% 的「隐藏邮件地址」都存在这个漏洞。
这件事最让人无语的地方除了漏洞本身,还有苹果的处理态度。
▸2025 年 6 月:Murphy 向苹果报告漏洞 ▸2025 年 7 月:苹果确认收到报告,表示正在调查 ▸2026 年 3 月:苹果称已修复,但 Murphy 测试后发现问题依然存在 ▸2026 年 5 月:苹果再次承诺会在未来数周内发布安全更新 ▸2026 年 7 月:漏洞仍未修复,距离最初报告已经超过一年
一个影响所有 iCloud+ 用户的隐私漏洞,被报告后拖了超过 12 个月没有解决。苹果中间还声称修复过一次,结果并没有真正修好。

## 集体诉讼来了
2026 年 7 月 16 日,苹果因为这个问题被提起了集体诉讼。
原告指控苹果违反了加州虚假广告法和消费者保护法规,理由是苹果明知「隐藏邮件地址」功能存在缺陷,仍然继续向用户宣传这项功能的可靠性和隐私保护能力。
目前没有已知的实际利用案例,诉讼的具体索赔金额也尚未披露,苹果方面暂时没有公开回应。
## 说在最后
苹果一直把隐私当作自家生态的核心卖点,「隐藏邮件地址」这个功能的设计初衷没有问题,但前提是它真的能保护你。

一旦这个前提出了问题,而且苹果在被告知后一年都没有修好,用户也就很难继续信任这个功能了。
预计诉讼发生之后,苹果会更加重视这个漏洞的修复。可能在接下来的 iOS 26 正式版更新或者 iOS 27 Beta 版中就会有所体现。
