SafeW 的「澄清」,其实是一场洗白
2026 年 1 月初,有中国网友公开曝光 SafeW 的安全问题之后,网上很快冒出一批口径高度一致、装成普通网友的「科普」「辟谣」文章,想把事情说成一场误会。这一页把这些洗白说法逐条摆出来,对照卡巴斯基的公开证据一一驳斥。你不必相信任何一方——自己点开报告核对即可。
先有网友曝光,才有这波「辟谣」
顺序很重要:是曝光在前,洗稿在后。相关问题先后两次被公开摆上台面——2025 年 2 月、2026 年 1 月均在多个 Telegram 大群、大频道里被广泛曝光、讨论;随后短时间内,多个站点同时冒出措辞雷同、专门替 SafeW 转移焦点的文章。一款产品如果真没问题,不会需要这样一批文章来「灭火」。
洗白说法 × 公开事实
下面每一条,上面是这些洗白稿里的说法,下面是对照公开证据的事实。
没有人说「申请相册权限」本身违法——正常聊天软件要相册权限,是为了让你发图。问题从来不是「有没有权限」,而是 SafeW 拿到权限后在背地里做了什么。
卡巴斯基查出:它会在后台用图像文字识别(OCR)逐张扫描你的相册截图,专门寻找加密钱包的助记词、私钥、密码,命中就把图片上传给攻击者。把「发图需要相册权限」和「用相册权限在后台翻你的保险箱」说成一回事,是典型的偷换概念、避重就轻,专门用来糊弄不了解技术的人。
卡巴斯基公开点名的,是 SafeW 在 App Store 和 Google Play 正式上架版本的包名 / Bundle ID——iOS 的 com.safew.messenger,Android 的 org.safew.messenger、org.safew.messenger.store。这些就是官方商店里那一个、对外发布的正版标识,和官方完全匹配。
从苹果、谷歌官方商店正规渠道下载的正版,怎么会是「下错了假的」?把官方上架版本被植入恶意代码,硬说成「用户下载错误」,是把锅甩给受害者。而且任何人只要打开卡巴斯基报告搜一下 safew,都能自己验证:被点名的就是官方包名,这套「下错版本」的说辞根本站不住。
HIPAA 是美国关于医疗健康信息的法律,约束的是医院、医疗保险、健康数据机构如何保护病人的健康记录。它和一款普通的即时通讯软件毫无关系。
一个聊天软件号称「完全遵守 HIPAA」,就像一家奶茶店号称「通过了飞机适航认证」——不是合规,是拿一个听起来唬人、却根本不对口的名头给自己贴金,甚至十分搞笑。这种张冠李戴的「合规」话术,恰恰说明它的安全宣传经不起推敲。
真正的「清白」,不是这样自证的
如果一款安全软件真的被冤枉,它会怎么做?和 SafeW 实际做的,对照一下就清楚了。
真被冤枉,会这样做
公开技术复盘、说明问题版本与修复时间、提供可验证的独立安全审计、配合安全厂商核查——用证据自证,而不是用嘴。
SafeW 实际做的
改名换皮重新上架,再找人假扮网友、代发一批洗白稿——把责任推给「下错版本」的用户、用「权限正常」偷换概念,甚至搬出跟即时通讯毫不相干的「HIPAA 合规」来贴金。而对这个安全问题本身,官方至今从未正面、公开回应过——没有声明,没有复盘,没有审计,没有担当。