Gemini for Mac 为什么不上 Mac App Store?安全隐患你必须知道
2026 年 4 月 15 日,Google 正式发布了 Gemini for Mac——其首款 macOS 原生桌面 AI 助手。这是一款用 Swift 构建的全功能客户端,可以直接在 Mac 上访问 Gemini 3 Flash、Pro 和 Ultra 模型。从产品功能来看,它是一款相当有竞争力的产品。
但有一个决定,值得每一个关注安全的用户认真审视:Google 选择将 Gemini for Mac 作为 DMG 文件从 gemini.google/mac 直接分发,完全绕过了 Mac App Store。
这不是一个无关紧要的分发细节。这是一个根本性的架构决策,直接影响这款应用能在你的系统上做什么、你会失去哪些保护、以及你需要在多大程度上信任 Google。本文将详细拆解这意味着什么,对比 Google 与竞争对手的做法差异,并给出具体的自我保护建议。
Mac App Store 到底保护了你什么
要理解 DMG 分发为什么重要,首先需要理解 Mac App Store 提供的不仅仅是下载便利——它是一个安全基础设施层。
沙箱机制(App Sandbox)
通过 Mac App Store 分发的每一款应用都必须在 Apple 的 App Sandbox 中运行。这是一个内核级的隔离机制,严格限制应用可以访问系统上的哪些资源。沙箱中的应用无法在未经用户通过系统文件对话框明确授权的情况下读取其容器之外的文件,无法访问其他应用程序的数据,无法监控系统级的输入事件,也无法向其他进程注入代码。
当你从 Mac App Store 安装一个应用时,你知道——通过技术强制执行,而非单纯的信任——这个应用在能做什么方面是被严格约束的。
Apple 审核
每一个 Mac App Store 提交都会经过 Apple 的审核流程。审核人员会检查恶意软件、验证应用是否如其所声称的那样运作、确保遵循 Apple 的人机界面指南、并验证没有使用私有 API 或存在欺骗行为。审核流程完美吗?并不完美。但它是一道额外的安全关卡,能够拦截明显的问题。
受管更新与回滚
App Store 应用通过 Apple 的受管更新系统接收更新,该系统包括代码签名验证和问题更新回滚能力。DMG 分发的应用自行处理更新机制,其安全性和可靠性可能参差不齐。
公证(Notarization)与 App Store 审核的区别
需要说明的是,Google 的 Gemini DMG 确实经过了 Apple 的公证——这意味着 Apple 已经扫描过它,确认不包含已知恶意软件,并颁发了公证票据。但公证的门槛远低于 App Store 审核。公证只检查恶意软件特征和基本的代码签名有效性,不评估应用的行为模式、数据收集行为或权限使用方式。
可以把公证理解为机场的金属探测器——它能检测到枪支,但检测不到恶意意图。
Gatekeeper 警告:第一个信号
当你首次下载并打开 Gemini for Mac 时,macOS 会弹出 Gatekeeper 警告。具体措辞取决于你的 macOS 版本和安全设置,但大意是要求你确认是否要打开一个从互联网下载的应用程序。
对于将安全与隐私偏好设置为“仅限 App Store”(最严格设置)的用户来说,他们需要手动在系统设置中覆盖这项保护才能安装 Gemini。这并不意味着恶意——许多合法应用也在 App Store 之外分发——但它确实要求用户主动降低安全姿态来使用 Google 的产品。
作为对比,ChatGPT Desktop 和 Claude Desktop 都在 Mac App Store 上架。安装这两款应用不需要任何安全覆盖操作。你点击“获取”,输入 Apple ID 密码或使用 Touch ID,应用就安装在它的沙箱内。没有警告,没有手动授权,除了“我信任 Mac App Store”之外不需要做任何信任决策。
Accessibility 权限:macOS 上最强大的权限
这里是真正值得警惕的地方。Gemini for Mac 请求 Accessibility(辅助功能)权限——而且不是作为可选增强功能。要使用应用完整的浏览器页面读取能力,你必须手动导航到“系统设置 > 隐私与安全性 > 辅助功能”,然后为 Gemini 授予访问权限。
大多数用户会不假思索地完成这一步。但他们应该三思。
Accessibility 权限到底授予了什么
macOS 的 Accessibility 权限并不仅仅是为了让应用与屏幕阅读器兼容。它是整个操作系统中最强大的权限类别之一。当你授予一个应用 Accessibility 访问权限时,你实际上赋予了它以下能力:
读取屏幕上任何窗口的内容。 不仅仅是它自己的窗口——是任何应用程序的窗口。这意味着 Gemini 可以读取你的邮件、银行页面、医疗记录、私人消息,以及当前显示在 Mac 上的任何内容。
系统级监控键盘输入。 拥有 Accessibility 权限的应用可以观察你在任何应用程序中输入的每一个按键。这在技术上与键盘记录器(keylogger)使用的能力完全相同。我们并不是在暗示 Google 正在运行键盘记录器——但他们请求的这项权限在技术上允许这样做。
与其他应用的 UI 元素交互。 Accessibility 权限允许应用点击按钮、读取表单字段、导航其他应用中的菜单。这对自动化很有用,但也意味着应用在技术上有能力在你不知情的情况下代替你执行操作。
读取任何运行中应用的辅助功能树。 这提供了对系统中每一个可见 UI 元素的内容和状态的结构化访问。
Google 为什么需要这项权限
Google 表示 Accessibility 权限是 Gemini 的“Desktop Intelligence”功能所必需的——即读取和理解你屏幕上网页及其他应用内容的能力。这确实是一个有用的功能:你可以直接就正在查看的内容向 Gemini 提问,而不需要复制粘贴。
但“功能所需”与“权限所授”之间的差距是巨大的。Gemini 需要的是读取可见页面内容。它请求的权限则允许它读取一切内容、监控所有输入、并与所有 UI 元素交互。Accessibility 权限没有办法缩小范围到“只读取浏览器标签页”——要么全给,要么不给。
App Store 的差异
这恰恰是 App Store 分发模式重要的原因。沙箱化的 Mac App Store 应用根本无法请求 Accessibility 权限。Apple 的沙箱机制明确阻止了这一点。如果 Google 通过 Mac App Store 分发 Gemini,应用就必须找到其他方式来提供屏幕读取功能——那些尊重沙箱边界、不需要系统级输入监控能力的方式。
通过选择 DMG 分发,Google 完全绕过了这一约束。
Google 收集了什么:数据清单
Google 的 Gemini 隐私中心 概述了使用 Gemini 时收集的数据。以下是结构化梳理:
| 数据类别 | 收集内容 | 保留期限 | 用户控制 |
|---|---|---|---|
| 提示词与对话 | 你的完整提示词和 Gemini 的回复 | 18 个月(默认自动删除) | 可缩短至 3 个月或手动删除 |
| 生成内容 | 会话中创建的图片、代码等输出 | 与对话保留期一致 | 随对话一起删除 |
| 设备信息 | 设备类型、操作系统版本、应用版本、硬件标识符 | Google 标准保留期 | 有限的退出选项 |
| 位置信息 | 基于 IP 推断的位置,可能包括 GPS(如授权) | Google 标准保留期 | 可在 Google 账户设置中关闭 |
| 订阅信息 | 支付方式、方案类型、账单历史 | 账户存续期间 | 删除账户 |
| 使用分析 | 功能使用模式、会话时长、错误日志 | Google 标准保留期 | 有限的退出选项 |
| 反馈数据 | 点赞/踩、举报的问题 | 无限期 | 可删除单条反馈 |
18 个月的默认保留期
对话的默认保留期是 18 个月。这意味着你在 Gemini 中输入的每一条提示词——包括那些引用了通过 Accessibility 权限从屏幕读取的敏感内容的提示词——都会在 Google 的服务器上存储一年半,之后才被自动删除。
你可以在 Google 账户设置中将此缩短为 3 个月,或者手动删除对话。但默认值是 18 个月,而绝大多数用户从不更改默认设置。
训练数据使用
Google 声明,与 Gemini 的对话可能会被人工标注员审阅并用于改进 Gemini 模型。你可以在设置中选择退出,但默认是选择加入。这意味着默认情况下,Google 的员工(或外包商)可能会阅读你与 Gemini 的对话——包括那些引用了 Gemini 从你屏幕读取内容的对话。
分发方式对比:Gemini vs. ChatGPT vs. Claude
Google 的做法与竞争对手形成了鲜明对比。
| 维度 | Gemini for Mac | ChatGPT Desktop | Claude Desktop |
|---|---|---|---|
| 分发方式 | 从 gemini.google/mac 下载 DMG | Mac App Store | Mac App Store |
| 沙箱化 | 否 | 是 | 是 |
| Apple 审核 | 仅公证 | 完整 App Store 审核 | 完整 App Store 审核 |
| Accessibility 权限 | 完整功能需要 | 不需要 | 不需要 |
| Gatekeeper 警告 | 有 | 无 | 无 |
| 更新方式 | 自管理 | Apple 受管 | Apple 受管 |
| 企业 MDM 支持 | 需手动部署 | App Store MDM 支持 | App Store MDM 支持 |
| 数据保留默认值 | 18 个月 | 30 天(API)/ 因方案而异 | 90 天 |
ChatGPT Desktop 和 Claude Desktop 都选择接受 Mac App Store 的约束,以换取它提供的信任和安全保障。两款应用都在 Apple 的沙箱内运行。两者都不需要 Accessibility 权限。两者都通过 Apple 的受管系统接收更新。
Google 选择了相反的路径。Gemini for Mac 在沙箱之外运行,要求 macOS 上最强大的系统权限,自行管理更新,并默认将你的数据存储 18 个月。
这并不一定意味着 Google 有恶意意图。在 App Store 之外分发确实有合理的技术原因——特别是对于需要深度系统集成的应用。但代价是:用户需要对 Google 投入比使用 OpenAI 或 Anthropic 桌面应用时显著更多的信任。
开源替代方案:bwendell/gemini-desktop
对于那些希望获得 Gemini 能力但不愿意接受 Google 数据收集方式的用户,有一个值得关注的开源替代方案。
bwendell/gemini-desktop 是一个社区构建的 Gemini 桌面客户端,截至发稿时在 GitHub 上拥有 132 颗星。它基于 Electron 构建,以“信任优先的默认设置”和“零遥测”作为核心卖点。因为源代码是开放且可审计的,你可以自行验证这些声明——这对于 Google 的闭源应用来说是不可能做到的。
代价也很明确:bwendell/gemini-desktop 不会拥有 Google 原生 Swift 应用那样的深度系统集成,而且它依赖社区维护而非 Google 的工程资源。但对于主要关切是隐私和数据最小化的用户来说,一个零遥测的开源客户端与一个来自全球最大广告公司的闭源应用,是根本不同的信任命题。
给用户的实操建议
如果你在了解这些风险后仍然决定使用 Google 的 Gemini for Mac,以下是降低风险的具体步骤:
缩短数据保留期。 安装后立即进入 Google 账户设置,将 Gemini 活动的自动删除周期从 18 个月缩短到 3 个月。更好的做法是设置为手动删除,并养成定期清理历史记录的习惯。
退出训练数据使用。 在 Google 账户隐私设置中,关闭允许 Google 使用你的 Gemini 对话进行模型改进的选项。这可以防止人工审阅人员阅读你的提示词。
慎重对待 Accessibility 权限。 如果你不需要 Gemini 读取你的屏幕或浏览器标签页,就不要授予 Accessibility 权限。应用在直接对话模式下仍然可以正常运行——你只是失去了上下文屏幕读取功能。
关闭敏感应用。 当 Accessibility 权限已启用时,Gemini 在技术上可以读取任何可见窗口。在使用屏幕感知功能之前,关闭或最小化包含敏感信息的应用——银行、医疗记录、私人通信。
定期检查权限授予。 定期查看“系统设置 > 隐私与安全性 > 辅助功能”,检视哪些应用拥有此权限。在你不主动使用屏幕读取功能时,从 Gemini 移除该权限。
考虑开源替代方案。 如果你的主要使用场景是与 Gemini 的直接对话而不涉及屏幕集成,bwendell/gemini-desktop 提供相同的模型访问能力,且拥有透明、可审计的代码库和零遥测。
更大的图景:分发方式为什么重要
Google 将 Gemini for Mac 在 App Store 之外分发的决定,不仅仅是一个产品层面的选择——它反映了 AI 行业中能力与约束之间更深层次的张力。
Apple 的 App Store 沙箱是为一个应用程序各自独立的世界设计的。AI 助手需要理解你的完整桌面上下文——读取屏幕、理解工作流、与其他应用集成——这些需求正在冲击沙箱的边界。Google 的回应是完全绕过沙箱。Anthropic 和 OpenAI 则找到了在沙箱约束内工作的方式,接受一些功能上的限制来换取更强的安全保障。
随着 AI 桌面应用变得更加强大、与操作系统的集成更加深入,它们的分发方式——以及所需的系统权限——将成为用户做出的最重要的安全决策之一。“这个应用可以读取我当前的浏览器标签页”和“这个应用可以读取我屏幕上的一切内容并记录每一个按键”之间的区别,不是一个细微的技术细节。这是一个关于你愿意暴露多少数字生活的根本性问题。
请慎重选择。
一种更好的方式在桌面使用 Gemini
本文所述的安全顾虑是真实存在的,但它们并非使用 Gemini 桌面端的固有问题——它们是 Google 在分发和权限上的特定选择所导致的。
GeminiDesktop.app 采取了不同的方式。我们正在构建一款以用户信任为优先的原生 macOS Gemini 客户端:透明的权限使用、最小化的数据收集、以及围绕“你的桌面上下文应该留在你的桌面上,除非你明确选择分享”这一原则设计的架构。
如果你想通过一个尊重你安全边界的桌面应用来使用 Gemini 的前沿模型,请试用 geminidesktop.app/app 的测试版。
参考资料
- Google Gemini 隐私中心 – 官方数据收集与保留政策
- Gemini for Mac 下载页 – 官方分发页面
- bwendell/gemini-desktop (GitHub) – 零遥测的开源替代方案
- Apple App Sandbox 文档 – App Store 沙箱技术细节
- Google 发布 Gemini for Mac – MacRumors – 发布报道与用户反应