Meta悄悄關掉加密，你的私訊還安全嗎？

2026年5月8日，Meta 悄悄地做了一件事——把Instagram私訊的端對端加密選項從設定頁面移除了。沒有重大公告，沒有倒數計時，就這樣消失了。

這不只是一個功能的下架，而是一場關於「誰能讀你的訊息」的根本性倒退。

加密承諾，如何一步步被收回

Meta 在2023年曾高調宣布，Messenger 將全面採用預設端對端加密，Instagram也將推出選擇性加密功能，並計劃未來設為預設。端對端加密的意義在於：除了對話雙方，包括Meta 本身在內的任何第三方都無法讀取訊息內容。

然而，這個「未來」始終沒有到來。今年3月，Meta 以「選擇加密的用戶不夠多」為由，宣布撤回該計劃。5月8日，選項正式消失。

這個決定在隱私權社群引發強烈反彈。批評者指出，加密功能的「使用率低」本身就是一個可以透過設計解決的問題——如果Meta 真的想要保護用戶隱私，完全可以將其設為預設開啟。選擇不這樣做，意味著技術上Meta 重新獲得了讀取私訊的能力，同時也更容易回應各國政府的數據調取要求。

對於台灣、香港及東南亞的華語用戶而言，這一點尤其值得關注。在政治敏感時期，私訊加密往往是保護言論自由的最後一道防線。

你的Chrome，藏著一個你不知道的AI

同一週，另一個「悄悄發生的事」也引發廣泛討論。Google Chrome 的用戶發現，自2024年起，瀏覽器已在未明確告知的情況下，自動下載了Google 的AI模型「Gemini Nano」，佔用硬碟空間高達4GB。

廣告

廣告合作

[email protected]

廣告

4GB 是什麼概念？大約是數千張高解析度照片的體積，或一部高畫質電影的大小。許多用戶在清查磁碟空間時才意外發現它的存在。

用戶可以在設定中將其停用，但代價是失去部分Chrome 的安全防護功能。Google 的邏輯是：本地端的AI模型可以在不上傳數據的情況下執行安全檢測，從而保護隱私。但問題在於，這個「為了你好」的決定，從未真正徵求過用戶的同意。

這種「預設安裝、事後告知」的模式，正在成為科技巨頭推廣AI的標準手法。它的便利性是真實的，但它對用戶自主權的侵蝕，同樣是真實的。

期末考前夕，學習平台「消失」了

本週另一起引人注目的事件，發生在教育領域。美國教育科技公司Instructure 旗下的學習管理平台Canvas 遭到勒索軟體攻擊，在期末考試週前夕進入「維護模式」，導致全美無數學生無法存取課程資料和作業。

自稱「ShinyHunters」的駭客組織宣稱對此負責。這個名字並不陌生——他們此前已涉及多起針對大型企業的數據洩露事件。選擇在考試周發動攻擊，顯然是一種精心計算的時間策略：受害者承受的壓力越大，支付贖金的可能性就越高。

這一事件對正在加速推動教育數位化的亞洲地區同樣具有警示意義。當學習數據、成績記錄、課程內容全部集中在單一雲端平台時，平台的安全性就不再只是IT部門的問題，而是整個教育體系的風險所在。

更廣的圖景：從芝刈機到水廠，攻擊面無處不在

本週的資安新聞還涵蓋了幾個值得關注的面向。

售價5,000美元的智慧機器人芝刈機「Yarbo」被發現存在嚴重漏洞，駭客可遠端接管機器、竊取Wi-Fi密碼與家庭住址，甚至操控機器移動。研究人員實際示範時，差點用被劫持的機器輾過記者。這不是科幻情節，而是當前IoT設備安全現狀的縮影。

在地緣政治層面，波蘭情報機構本週警告，去年已有駭客入侵該國五個城市的水務設施工業控制系統，構成對供水連續性的「直接風險」。報告未點名歸咎，但指出波蘭持續面臨來自俄羅斯的升級攻勢。與此同時，洩露文件揭示俄羅斯GRU 軍事情報局透過莫斯科鮑曼技術大學的「第四系」培訓駭客，畢業生被輸送至「Fancy Bear」與「Sandworm」等臭名昭著的駭客組織。

此外，研究人員發現數千個以「氛圍編程（vibe coding）」方式生成的應用程式，在未加任何安全防護的情況下暴露於公開網路，洩露企業與個人的敏感數據。AI讓「人人都能寫程式」，但顯然還無法讓「人人都能寫出安全的程式」。