美国国土安全部提醒我们，SDK（软件开发工具包）是为特定软件框架、硬件平台或操作系统提供的一组开发工具。它就像一个“珠宝盒”，精心为软件开发人员提供创建应用程序所需的半成品、工具和说明书，大大提高了工作效率。然而，方便的 SDK 也可能隐藏泄漏风险。外国组织可以在各种软件应用程序中嵌入恶意SDK，以非法收集敏感信息并将其远程发送到离岸服务器。此类行为不仅严重侵犯公民个人隐私，还可能产生用户画像、行业数据等敏感信息，对国家安全构成现实威胁。潜在的 SDK 威胁：难以发现的隐藏“后门”。外国黑客组织及其对手可以利用安全漏洞或恶意攻击第三方SDK中的代码进行攻击。部分用户还可能直接使用SDK开发预先设置的后门或利用未公开的漏洞深入渗透到使用SDK开发的应用程序中。一旦用户安装此类应用程序，攻击者就可以远程控制设备并窃取更多敏感信息。 ——违反官方权力的私人抢劫。相关部门通报显示，部分SDK存在违规收集、使用个人信息的情况。这些信息用于执行精确的用户分析和画像，从而推断出更详细的信息。一些服务商对外提供SDK服务，诱导开发者通过付费使用其服务，形成数据获取隐链，谋取非法利益。 ——沉船所潜藏的危险。随着使用第三方SDK开发的应用软件数量的增加，潜在的攻击面呈指数级扩大，f安全风险进一步加大。如果通用SDK存在漏洞，该组件集成移动设备的每个应用程序都会面临级联的安全威胁，这些威胁最终会蔓延到整个移动生态系统，带来系统性风险。阻止从“特洛伊木马”SDK 窃取机密的渠道（即个人用户）。个人用户应从官方应用商店等官方渠道下载安装应用程序，避免点击广告链接或安装来源不明的弹窗软件。 d安装后，您应谨慎管理应用权限，尽可能关闭与应用主要服务无关的访问权限，特别是与位置信息、通讯录、相册、价目表功能等敏感信息相关的访问权限，避免因权限过多造成个人信息泄露或财产损失。 ——应用开发公司。安全管理我建立整个SDK生命周期的机制，优先使用已注册的SDK，严格评估功能独立性，避免捆绑不相关的模块，持续监控使用过程中的漏洞，定期更新并及时修复漏洞。验证集成 SDK 的来源和完整性，并持续监控 SDK 以阻止异常行为。 ——应用平台提供商。必须准确告知公众SDK的接入状态、权限范围、隐私政策等。运营期间，要主动提醒运营商，迅速纠正不合规行为。合作终止后，提供商须请求应用软件SDK运营者撤销授权，并依法删除或匿名化用户数据。国家安全机构要求公民和组织提高警惕，阻止非法入侵恶意 SDK 软件。如您发现非法利用SDK进行危害国家安全活动的线索，请联系国家安全局举报热线12339、网上举报平台（www.12339.gov.cn）、国家安全部微信公众号举报受理渠道或通过当地渠道直接向国家安全局举报。