
很多Mac 用户对 macOS 存在一个根深蒂固的“安全幻觉”:macOS 天生比 Windows 坚固,不需要防火墙,更不需要杀毒软件。
诚然,macOS 拥有相当扎实的安全基础设施:Gatekeeper 把守应用入口,XProtect 默默查杀,再加上 FileVault、SIP 和 App Sandbox 的层层隔离。但拥有这些机制,并不意味着“自动安全”。真正的问题在于:很多关键安全项默认可能没开,或者开得不完整;很多权限、启动项、网络连接、持久化程序,普通用户根本不会定期检查。
尤其在近几年,随着 AI 的普及,我们正将越来越多的系统级控制权毫无保留地交给类似 OpenClaw 这样的 Agent 框架以及各种软件包的供应链攻击,macOS 的攻击面已被极度放大。
最近活生生的macOS安全事故是 X用户 @Barret_China 的案例:https://x.com/Barret_China/status/2067997733605331174
macOS 安全防护大致可以分成几层:
第一层是系统基础加固,比如磁盘加密、自动更新、防火墙、密码策略、锁屏时间、共享服务关闭。
第二层是实时防护,比如哪些应用联网、哪些程序试图长期驻留、哪些二进制文件被执行。
第三层是取证与可见性,比如启动项、LaunchAgent、LaunchDaemon、内核扩展、系统扩展、浏览器插件、可疑进程、登录项、权限授权记录。
第四层是企业级合规,比如 CIS Benchmark、NIST、SOC 2、ISO 27001 对端点配置的要求。
对普通用户来说,主要涉及第一层、第二层,手动检查几十项配置既繁琐又容易遗漏,安装专业的防火墙、杀毒软件又太重、难用。
最近有个 macOS 安全审计与自动加固的开源项目 Fort,值得推荐一下。
Fort:https://github.com/djadmin/fort
Fort 是一个开源 macOS 安全审计与加固工具,核心定位是:用一条命令检查 Mac 的安全状态,发现问题后尽可能安全地修复,并生成适合审计留档的报告。
Fort 主要解决macOS 安全防护第一层和第四层之间的空白:让普通用户和小团队不用啃复杂的安全基线文档,也能快速知道自己的 macOS 是否处于一个基本安全的状态。
Fort 的核心能力:
- 运行 15+ 项安全检查,分为核心安全、系统加固、访问控制、暴露减少、补丁管理等类别。
- 检查项映射到主流合规框架:SOC 2、ISO 27001、NIST CSF、CIS v8,非常适合准备合规审计的个人或团队。
- 提供 Claude Code 插件,可用自然语言调用AI大模型进行审计和加固。
- 支持 dry-run 预览修复效果。
- 交互式修复(–fix)或全自动模式(–fix –yes)。
- 输出 HTML 专业报告(含证据、命令、原始输出)和 JSON(便于脚本/MDM/自动化)。
针对普通用户的macOS 安全防护工具集推荐:
第一层:系统基础加固
Pareto Security:https://github.com/ParetoSecurity/pareto-mac Fort 最直接的竞品,图形界面,只支持检测,不支持修复。
mSCP:https://github.com/usnistgov/macos_security
Lynis:https://github.com/CISOfy/lynis
第二层:实时防护
Objective-See 工具集:https://objective-see.org/tools.html 强烈推荐安装 LuLu + KnockKnock + OverSight
针对普通用户日常使用轻量级最佳实践:
Fort:每月运行一次,检查基础安全设置
LuLu:长期运行,控制未知出站连接
KnockKnock:每隔一段时间扫描启动项
OverSight:监控摄像头和麦克风