如何看待2026年3月8日开发者公开的小米骁龙8 Elite Gen 5机型BL锁漏洞?

2026/3/13补充:
科技媒体Android Authority发布了技术分析文章,披露了此次高通第五代骁龙8至尊版芯片存在的安全漏洞链。原文链接如下:
New Qualcomm GBL exploit brings bootloader unlocking to flagship Androids
中文网站相关引用报道:
高通芯片现漏洞:绕过限制解锁Bootloader,小米等多品牌或受影响

以下是原回答



回答里太多圈内人跟谜语人一样说了半天,然后阴阳小米,我来给圈外人说一说这是个什么事吧。

2026年3月8日左右,手机圈突然爆出一个新闻:小米最新款手机(主要是小米17系列红米K90 Pro Max,用的是高通骁龙8 Elite Gen 5芯片)被发现一个严重漏洞,本质是高通Snapdragon 8 Elite Gen 5(以及部分前代)fastboot命令处理漏洞 + 小米HyperOS/Pengpai OS特定高权限进程组合导致的。

先说说“BL锁”到底是什么?

手机出厂时,厂商会在最底层装一把“安全门锁”,叫Bootloader锁(简称BL锁)。
这把锁的作用很简单:

  • 不让随便改手机的底层系统(比如装第三方软件、深度自定义)。
  • 保护你的银行App、支付宝、个人信息不被坏人偷走。

小米以前把这把锁管得特别严,想正常解开需要:

  • 在小米社区注册账号、参加“考试”(网友戏称“小米高考”),答很多题。
  • 绑定手机号、等好几天甚至更久。
  • 还经常被拒绝。
    普通人基本解不开,目的是为了安全。

这个漏洞有多厉害?

有人发现了一个超级简单的方法:不用考试、不用等待、甚至不用拆手机,用电脑连上手机执行几条命令,几分钟就能把锁打开!
小米17全系列和红米K90 Pro Max(主要是国内版)都能秒解。
消息一出,在国内最大的手机爱好者论坛“酷安”上彻底炸锅,讨论热度直接冲到150万+,远超其他所有话题,大家都在抢着讨论怎么操作。

小米已经紧急补漏洞了

小米反应很快,马上推出一个“热更新”(自动软件升级)。
只要你的手机连上网,这个更新就会自己装上去,把漏洞彻底堵死。
已经解锁的手机,也可能被重新锁回去。
国内版基本躲不过,海外版(没打2月补丁的)可能还能多用几天,但迟早也会补。

有人借机赚钱

漏洞刚爆出来时,有人开发了工具,收费1000-1200元帮别人操作,还加了一些额外要求。
后来别人也学会了,出现更简单的方案(需要拆手机),价格降到200元左右。
现在工具已经在论坛公开了。

普通人该怎么看这件事?

1. 你只是普通用户(刷视频、聊天、拍照、用银行App):
完全不用管!继续正常用手机就好。千万别下载不明工具,否则手机容易中病毒、个人信息泄露,银行App也可能出问题。解锁还会清空所有数据、失去官方保修。

2. 你是喜欢折腾手机的人(想刷自定义系统、玩更多功能):
这是个难得的“窗口期”。想试的话:

  • 先把所有重要数据备份到电脑或云端(解锁会清空手机)。
  • 最好断网操作,别让更新装上去。
  • 但要知道:解锁后安全性会下降,自己承担风险。

3. 对小米来说
有点尴尬。以前锁得太严,圈内喜欢刷机的人怨气大;现在被漏洞轻松绕过,说明他们需要把正常解锁流程改得更合理一点,别逼大家走“后门”。

总结
这是手机厂商(想锁紧保护安全)和刷机用户(想有更多自由)之间的老矛盾。这次小米被钻了空子,但他们很快就把门补好了。

想刷机玩的赶紧趁现在(必须离线),普通人直接忽略就好。


补充评论区有人在意的强制更新问题。


首先热更新是什么意思?
简单说:就是手机厂商通过网络给你手机“打紧急小针”
正常系统大更新(比如从HyperOS 2升级到3)要等很久、下载几GB,还得手动点“安装”。
但“热更新”(也叫紧急安全补丁/OTA热补丁)不一样:

  • 体积很小(几十MB甚至更小)
  • 后台自动下载、自动安装
  • 很多时候不用重启手机就能生效
  • 专门用来快速堵安全漏洞

这次小米就是发现芯片级大漏洞后,马上推送这种热更新。只要手机连上网,服务器一检测到你的机型和版本,就会偷偷给你装上。普通用户几乎感觉不到,但它能把漏洞彻底堵死,还可能对已经解锁的手机“重新上锁”。

手机联网就强制更新,符合法规吗?
基本符合,而且是行业标准做法

  • 中国《网络安全法》明确要求:手机厂商必须及时修复已知安全漏洞,保障用户设备安全。
  • 你的手机买来时,用户协议里早就写着“同意接收自动更新”。
  • 工信部和网信办也鼓励厂商推送安全补丁,尤其涉及芯片级、隐私泄露的大漏洞时,安全优先。

吐槽最多的点“连网就强制、关不掉”确实存在,但法律上不算违规——因为这是保护大家(防止黑客大规模利用)。
如果你真想关:

  • 高级玩家可以用root+模块屏蔽(但风险自负)。
  • 普通人只能靠“飞行模式+不连WiFi”暂时躲,但不推荐长期这样。

苹果iOS更狠,很多安全更新根本不给你选择,直接强制。谷歌安卓也通过Play系统更新后台静默打补丁。所以小米这次不算特例,是全行业标准做法。

有没有其他典型例子?
有!这种“联网强制补漏洞、甚至影响已解锁手机”的情况,手机圈每年都发生几次:

  1. 高通芯片老漏洞(2017-2022多次)
    几乎所有安卓手机(小米、三星、一加、OPPO)都被影响。厂商统一推送OTA热更新,解锁/刷机用户更新后经常要重新root,或者部分功能被限制。
  2. OnePlus(一加)ARB反回滚机制
    OTA更新会偷偷提高“版本编号”,已解锁的旧系统再刷回去就直接变砖。很多用户被迫重新锁BL才能正常更新。
  3. 三星Knox安全系统
    一旦检测到你解锁或刷过机,OTA更新后三星Pay、银行App、安全文件夹全部失效,必须重新锁回才能恢复。
  4. 谷歌Pixel和三星手机
    安全补丁经常强制推送,已root设备更新后root会失效,或者银行App弹出“非官方系统”警告。
  5. 苹果iOS经典案例
    发现漏洞后,即使你关闭了“自动更新”,苹果也会弹窗“必须马上更新,否则部分功能停用”。

一句话总结:厂商永远把“安全”放在第一位,热更新就是他们的“急救包”。这次小米反应快、补得狠,用户吐槽多,但从法律和安全角度完全站得住脚。

普通用户:安心联网更新就行,别乱用工具。
爱折腾的:赶紧离线操作,备份好数据,晚了就真锁死了。
最后,安全第一,玩机有风险。

编辑于 2026-03-13 · 著作权归作者所有
相关文章
曝小米 17T 系列国行将推「套娃机型」,如何评价小米的这一市场策略?小米为什么没有想到提前华为一步做阔折叠?如果一开始打算买小米汽车的人,看到小米汽车负面消息后会选择买特斯拉还是其他?国内暴跌35%,全球大跌19.1%,为什么大家都不买小米手机了?新一代小米 SU7 发布,售价 21.99-30.39 万,怎样看待这一定价?预计销量会如何?苹果、华为、小米集体官宣降价,如何看待这波降价促销?降价策略还能像以前那样有效拉动销量吗?如何评价4月17日雷军的小米su7京沪巡航测试直播?余承东新产品定价比小米便宜 100 元,这种策略能否持续奏效?新一代小米 SU7 发布,全系搭载 V6s Plus 超级电机,最高续航达 902km,还有哪些看点?雷军直播拆车小米 YU7,哪些内容值得关注?回应了哪些公众好奇的点?如何看待IDC发布2026第一季度国内手机出货量数据,华为居首苹果次席,小米跌出前五?我在想,如果SU7和YU7不是小米做的,是一家新的新能源公司做的,大家态度是什么样,还有这样的热度?小米YU7gt能否避免SU7ultra的失败?小米汽车你会购买吗?如何评价 4 月 17 日雷军开启 15 小时新 SU7 测试直播?6 月 23 日部分小米电视用户反馈收到地震预警,小米致歉称内测操作失误,什么情况?暴露出哪些问题?为什么董明珠攻击小米空调,而公牛却没有攻击小米插座?小米玄戒到底怎么样?如果小米亲自下场拆su7 ultra,会揭穿挖孔造假风道不通风吗?曝小米 17T 系列国行将推「套娃机型」,如何评价小米的这一市场策略?