真正危险的不是内容本身，而是链接后面那扇门：一不小心就把钥匙递给了别人。很多人被钓鱼邮件、社交媒体私信或看似正常的登录按钮骗过去，点了“继续使用 Google 登录”或“允许访问”，结果不是多看了一篇文章，而是给了第三方应用长期读取邮件、云盘、联系人甚至代发消息的权限。要躲开这个陷阱，其实只需做一件事：彻底清查并撤销不必要的第三方应用/网站权限。下面一步步教你怎么做，并告诉你平时该如何防范。

为什么链接会这么危险

• OAuth 授权不像输入密码那么直观：它通过同意页面把权限交给第三方，审批通常只需几次点击，无需再次输入密码。
• 恶意应用常常伪装得很专业，申请极广泛的权限（读取邮件、访问云盘、管理联系人等），一旦同意，数据就可能被滥用或出售。
• 即便后来更改密码或登出，已经发出的授权令牌可能仍然有效，攻击者仍能访问你的数据，直到你撤销访问权限。

马上要做的“一件事”：检查并撤销第三方应用访问权限

• 在电脑或手机上打开 Google 账户管理（myaccount.google.com）。
• 进入“安全”→“第三方应用对帐户的访问权限”或“已连接的应用与网站”（Manage third-party access / Apps with account access）。
• 仔细查看列表，针对不认识、很久没用、或申请过度权限的应用，点击“移除访问权限”。
• 检查“已用 Google 登录的应用”或“已连接的应用与网站”，同样移除不熟悉或不再使用的项目。

其他必须一并做的设置（覆盖更多场景）

• 浏览器扩展：打开扩展管理（Chrome：chrome://extensions/），查看权限特别大的扩展，比如“读取并更改您在访问网站上的所有数据”，移除不熟悉或不常用的扩展。
• 手机安装来源（Android）：设置→应用与通知→特殊应用访问→安装未知应用，禁止浏览器或来路不明的应用有安装 APK 的权限。
• 邮箱和云盘的“第三方访问”：分别在邮箱、Google Drive 等服务的设置里查找授权应用并撤销。
• 社交平台与其它账户：Facebook、Twitter、Apple、Microsoft 等也有连接应用管理页面，统一清查并移除不必要的权限。

判断授权请求是否可疑——四个快速观察点

• 请求的权限是否超出该应用正常功能所需？（例如一款在线工具索要“读取和删除邮件”的权限就非常可疑）
• 同意页面上的应用名和开发者信息是否可信，是否经过验证（verified）？
• 授权请求的来源链接是否来自正式域名（注意域名拼写和子域名陷阱）？
• 你是在主动去授权某服务，还是被一个看似紧急的链接诱导过去？后者风险更高。

长期防护清单（每月花几分钟）

• 定期（建议每月）查看并清理第三方应用/已授权设备。
• 启用两步验证（建议使用安全密钥或认证器而非短信）。
• 对重要服务启用登录警告或活动提醒。
• 使用密码管理器避免在钓鱼页面重复输入密码。
• 只在可信站点使用“用 Google 登录/授权”，遇到不熟悉的应用先去搜索评测和开发者信息。

一句话回顾 链接本身可能只是入口，真正危险的是你通过链接批准的权限。现在就去检查并撤销那些你不认识或不需要的第三方访问权限——这一步能挡住大多数因为链接带来的破坏。