如何看待2026年3月8日开发者公开的小米骁龙8 Elite Gen 5机型BL锁漏洞?
2026/3/13补充:
科技媒体Android Authority发布了技术分析文章,披露了此次高通第五代骁龙8至尊版芯片存在的安全漏洞链。原文链接如下:
New Qualcomm GBL exploit brings bootloader unlocking to flagship Androids
中文网站相关引用报道:
高通芯片现漏洞:绕过限制解锁Bootloader,小米等多品牌或受影响
以下是原回答
回答里太多圈内人跟谜语人一样说了半天,然后阴阳小米,我来给圈外人说一说这是个什么事吧。
2026年3月8日左右,手机圈突然爆出一个新闻:小米最新款手机(主要是小米17系列和红米K90 Pro Max,用的是高通骁龙8 Elite Gen 5芯片)被发现一个严重漏洞,本质是高通Snapdragon 8 Elite Gen 5(以及部分前代)fastboot命令处理漏洞 + 小米HyperOS/Pengpai OS特定高权限进程组合导致的。
先说说“BL锁”到底是什么?
手机出厂时,厂商会在最底层装一把“安全门锁”,叫Bootloader锁(简称BL锁)。
这把锁的作用很简单:
- 不让随便改手机的底层系统(比如装第三方软件、深度自定义)。
- 保护你的银行App、支付宝、个人信息不被坏人偷走。
小米以前把这把锁管得特别严,想正常解开需要:
- 在小米社区注册账号、参加“考试”(网友戏称“小米高考”),答很多题。
- 绑定手机号、等好几天甚至更久。
- 还经常被拒绝。
普通人基本解不开,目的是为了安全。
这个漏洞有多厉害?
有人发现了一个超级简单的方法:不用考试、不用等待、甚至不用拆手机,用电脑连上手机执行几条命令,几分钟就能把锁打开!
小米17全系列和红米K90 Pro Max(主要是国内版)都能秒解。
消息一出,在国内最大的手机爱好者论坛“酷安”上彻底炸锅,讨论热度直接冲到150万+,远超其他所有话题,大家都在抢着讨论怎么操作。
小米已经紧急补漏洞了
小米反应很快,马上推出一个“热更新”(自动软件升级)。
只要你的手机连上网,这个更新就会自己装上去,把漏洞彻底堵死。
已经解锁的手机,也可能被重新锁回去。
国内版基本躲不过,海外版(没打2月补丁的)可能还能多用几天,但迟早也会补。
有人借机赚钱
漏洞刚爆出来时,有人开发了工具,收费1000-1200元帮别人操作,还加了一些额外要求。
后来别人也学会了,出现更简单的方案(需要拆手机),价格降到200元左右。
现在工具已经在论坛公开了。
普通人该怎么看这件事?
1. 你只是普通用户(刷视频、聊天、拍照、用银行App):
完全不用管!继续正常用手机就好。千万别下载不明工具,否则手机容易中病毒、个人信息泄露,银行App也可能出问题。解锁还会清空所有数据、失去官方保修。
2. 你是喜欢折腾手机的人(想刷自定义系统、玩更多功能):
这是个难得的“窗口期”。想试的话:
- 先把所有重要数据备份到电脑或云端(解锁会清空手机)。
- 最好断网操作,别让更新装上去。
- 但要知道:解锁后安全性会下降,自己承担风险。
3. 对小米来说:
有点尴尬。以前锁得太严,圈内喜欢刷机的人怨气大;现在被漏洞轻松绕过,说明他们需要把正常解锁流程改得更合理一点,别逼大家走“后门”。
总结:
这是手机厂商(想锁紧保护安全)和刷机用户(想有更多自由)之间的老矛盾。这次小米被钻了空子,但他们很快就把门补好了。
想刷机玩的赶紧趁现在(必须离线),普通人直接忽略就好。
补充评论区有人在意的强制更新问题。

首先热更新是什么意思?
简单说:就是手机厂商通过网络给你手机“打紧急小针”。
正常系统大更新(比如从HyperOS 2升级到3)要等很久、下载几GB,还得手动点“安装”。
但“热更新”(也叫紧急安全补丁/OTA热补丁)不一样:
- 体积很小(几十MB甚至更小)
- 后台自动下载、自动安装
- 很多时候不用重启手机就能生效
- 专门用来快速堵安全漏洞
这次小米就是发现芯片级大漏洞后,马上推送这种热更新。只要手机连上网,服务器一检测到你的机型和版本,就会偷偷给你装上。普通用户几乎感觉不到,但它能把漏洞彻底堵死,还可能对已经解锁的手机“重新上锁”。
手机联网就强制更新,符合法规吗?
基本符合,而且是行业标准做法。
- 中国《网络安全法》明确要求:手机厂商必须及时修复已知安全漏洞,保障用户设备安全。
- 你的手机买来时,用户协议里早就写着“同意接收自动更新”。
- 工信部和网信办也鼓励厂商推送安全补丁,尤其涉及芯片级、隐私泄露的大漏洞时,安全优先。
吐槽最多的点“连网就强制、关不掉”确实存在,但法律上不算违规——因为这是保护大家(防止黑客大规模利用)。
如果你真想关:
- 高级玩家可以用root+模块屏蔽(但风险自负)。
- 普通人只能靠“飞行模式+不连WiFi”暂时躲,但不推荐长期这样。
苹果iOS更狠,很多安全更新根本不给你选择,直接强制。谷歌安卓也通过Play系统更新后台静默打补丁。所以小米这次不算特例,是全行业标准做法。
有没有其他典型例子?
有!这种“联网强制补漏洞、甚至影响已解锁手机”的情况,手机圈每年都发生几次:
- 高通芯片老漏洞(2017-2022多次)
几乎所有安卓手机(小米、三星、一加、OPPO)都被影响。厂商统一推送OTA热更新,解锁/刷机用户更新后经常要重新root,或者部分功能被限制。 - OnePlus(一加)ARB反回滚机制
OTA更新会偷偷提高“版本编号”,已解锁的旧系统再刷回去就直接变砖。很多用户被迫重新锁BL才能正常更新。 - 三星Knox安全系统
一旦检测到你解锁或刷过机,OTA更新后三星Pay、银行App、安全文件夹全部失效,必须重新锁回才能恢复。 - 谷歌Pixel和三星手机
安全补丁经常强制推送,已root设备更新后root会失效,或者银行App弹出“非官方系统”警告。 - 苹果iOS经典案例
发现漏洞后,即使你关闭了“自动更新”,苹果也会弹窗“必须马上更新,否则部分功能停用”。
一句话总结:厂商永远把“安全”放在第一位,热更新就是他们的“急救包”。这次小米反应快、补得狠,用户吐槽多,但从法律和安全角度完全站得住脚。
普通用户:安心联网更新就行,别乱用工具。
爱折腾的:赶紧离线操作,备份好数据,晚了就真锁死了。
最后,安全第一,玩机有风险。