苹果在WWDC26上宣布了一项听起来既有用又略显恐怖的功能。在iOS 27、iPadOS 27和macOS 27中，密码应用将能够使用Apple Intelligence和Safari自动更改弱密码或被泄露的网站密码。与其警告你发现旧密码出现在数据泄露中并让你自己去修复，苹果的新自动更改密码功能可以导航到网站，登录，使用强密码替换旧密码，保存，并将过程显示为实时活动。这解决了一个真正的安全问题。人们往往忽视泄露密码的警告。由于更改密码很麻烦，网站隐藏设置，账户需要其他验证步骤，或者用户有40个其他警告在等待，更改密码的任务常常被推迟。一个从未采取行动的警告并不是一个真正的控制。但在识别出一个风险密码和更改控制某人账户的凭证之间有一个重要的界限。检测是观察，而更改密码则是权限。问题不在于AI是否能找到更改密码按钮，而在于在它找到之后我们应给予多少权威。截至2026年6月8日，这些操作系统和此功能仍处于开发人员测试版中。苹果已宣布了此能力，但详细的安全架构、支持网站要求、故障处理和审批模型尚未完全公开文档化。这意味着一些最大的问题尚没有确认的答案，这些问题正是安全专业人员在此成为普通消费者功能之前应该提问的。安全的好处是真实存在的，我不想从自动化密码更改自动坏的立场出发。苹果的密码应用程序已经识别出重复使用、弱和被泄露的凭证。苹果的平台安全文档解释了它的密码监测功能如何使用保护隐私的技术将保存的凭证与策划的泄露密码列表进行比较，而不向苹果透露用户的密码。现有的过程告知用户存在问题，并指引他们到网站进行更改。这个最后一步往往是安全建议消亡的地方。研究一再表明，用户并不可靠地更改泄露的密码，而当他们确实更改时，可能会用类似的密码替换，或者在其他地方重复使用新密码。NIST的当前数字身份指南表示，服务应在存在泄露证据时强制更改密码，允许使用密码管理器，并阻止已知的泄露密码。苹果的这个功能可以将这些部分连接起来。如果密码检测到泄露的凭证，生成一个独特的强密码，更新网站，并正确保存新的凭证，这可以减少暴露的密码对攻击者有用的时间。它还可以帮助普通用户获得独特密码的安全优势，而无需他们在每个网站的账户设置中奋战。这是一个有意义的改进。危险在于，这种自动化必须在我们拥有的最不可信的环境之一中运行：开放网络。更改密码是一个高影响的行为。当一个人执行更改网站密码的操作时，看似简单。打开网站，登录，找到账户设置，输入当前密码，生成一个新密码，提交，保存。代理必须理解并执行整个工作流程。根据网站的不同，代理可能还需要处理重定向、弹出窗口、不寻常的密码规则、同一域上的多个账户、重新身份验证提示、多因素身份验证挑战、确认电子邮件、过期的会话或自代理接受训练或测试以来已更改的页面。这不仅仅是文本生成。这是代理与敏感凭证采取行动。五眼联合指导关于谨慎采用代理AI服务的核心风险明确了一个事实：代理的权限直接决定了它可能带来的风险。该指南建议最小权限、强有力的监督、高影响行为的人类批准、详细日志记录，以及系统不确定时的安全行为。一个更改密码的代理至少具备三种强大的能力：它可以代表用户进行身份验证；它可以访问控制账户的秘密；它可以替换该秘密并可能使用户现有的访问无效。这是对任何自动化系统过多信任，无论苹果将其称为AI、代理自动化或其他名称。每个网站都是不可信的输入。我一直回到的第一个风险是提示注入。浏览器代理必须读取网站，以理解页面上的内容并决定接下来该做什么。但网站并不是中立的接口。它们包含文本、脚本、广告、嵌入框架、用户生成的内容和其他由第三方控制的材料。Anthropic自己在提示注入方面的研究表明...