中國網12月2日訊  據國家安全部官微消息，國家安全部提示，SDK（軟體開發工具包）是一套為特定軟體框架、硬體平臺或作業系統提供的開發工具集合，它就像一個“百寶箱”，貼心地為軟體開發者提供構建應用程式所需要的半成品、工具和説明，極大地提升了工作效率。然而，便利的SDK，也可能潛藏失泄密風險。境外組織可能通過將惡意SDK嵌入到各類應用軟體中，非法收集敏感資訊，並遠端傳輸至境外伺服器。這種行為不僅嚴重侵犯公民個人隱私，更可能導致用戶畫像、行業數據等關鍵資訊被境外掌控，進而對我國家安全構成現實威脅。

SDK的潛在威脅

——來路難尋的隱蔽“後門”。境外駭客組織或敵對勢力可能利用第三方SDK的安全漏洞或惡意代碼進行攻擊，更有甚者會直接利用SDK開發預置後門，或利用未公開的漏洞，對使用該SDK開發的應用程式進行深度滲透。用戶一旦安裝了此類應用，攻擊者便可遠端操控其設備，竊取更多重要敏感資訊。

——侵犯許可權的私自搜掠。有關單位通報顯示，部分SDK存在違規收集使用個人資訊行為，這些資訊可能被用於精準用戶畫像與分析，進而推斷出更多深層資訊。個別境外SDK服務商甚至通過付費方式誘使開發者使用其服務，形成隱蔽的數據獲取鏈條，從中牟取非法利益。

——積羽沉舟的內生隱患。隨著使用第三方SDK開發的應用軟體數量增加，其潛在攻擊面呈幾何級擴大，安全風險進一步提升。如某個通用SDK存在漏洞時，所有整合該組件的應用都將面臨連鎖式安全威脅，最終擴散至整個移動生態，構成系統性風險。

堵住SDK“木馬”竊密通道

——個人用戶。廣大個人用戶應從官方應用商店等正規渠道下載安裝應用，切勿點擊來歷不明的廣告連結或隨意安裝彈窗推送的軟體。安裝後，應審慎管理應用許可權，儘量關閉與應用核心服務無關的訪問許可權，特別是涉及位置、通訊錄、相冊等敏感資訊或資費功能，避免因許可權過度開放導致個人資訊洩露與財産損失。

——應用程式開發企業。應建立SDK全生命週期安全管理機制，優先選用備案SDK，嚴格評估功能獨立性，避免無關模組捆綁，在使用過程中應持續監測、定期更新、及時修補漏洞。對整合的SDK進行來源確認和完整性校驗，並持續監測SDK是否有異常行為。

——App平臺供應商。應向大眾準確告知SDK接入情況、許可權範圍、隱私政策等情況。運營期內，應主動提示運營者及時改進不符合要求的行為。合作結束後，供應商應督促本應用軟體的SDK運營者退出授權，依法刪除或匿名化處理用戶數據。

國家安全機關提示

廣大公民和組織應提高警惕，阻斷惡意SDK軟體的非法入侵。如發現有違法使用SDK從事危害國家安全活動的問題線索，可通過12339國家安全機關舉報受理電話、網路舉報平臺（www.12339.gov.cn）、國家安全部微信公眾號舉報受理渠道或者直接向當地國家安全機關進行舉報。