2016 年 5 月微博網友 @蒸米 spark 通過網絡數據分析工具 Charles 發現百度輸入法和搜狗輸入法都會記錄用戶輸入的每一個內容，用戶輸入的內容會被以明文協議的方式上傳到百度和搜狗的服務器，由於是明文傳輸因此很容易被監聽，毫無隱私可言。

之後搜狗輸入法改進了連接采用 HTTPS 加密協議傳輸內容，安全性相對明文協議傳輸來說稍微好了一些，但重點是用戶輸入的內容依然會被上傳，即便用戶退出搜狗輸入法的用戶體驗計劃也無濟於事。

7 年過去了，日前有安全研究團隊發現搜狗輸入法仍然存在安全問題，搜狗輸入法內部使用名為 EncryptWall (加密牆) 的加密係統對數據進行加密，但這個加密牆存在安全漏洞。

搜狗輸入法的這個加密係統存在名為 CBC padding oracle 攻擊的漏洞，攻擊者利用該漏洞可以恢複加密網絡傳輸的內容，也就是解密為明文，從而獲得用戶輸入的所有內容。

包括 Windows 版、Android 版和 iOS 版的搜狗輸入法都存在缺陷，在收到安全通報後騰訊先是表示這個 “漏洞” 沒問題，之後又回郵件確認漏洞是有效的，請求研究人員暫時不要公開漏洞等待修複。

接著騰訊對漏洞進行了緩解，騰訊修改服務器在出現錯誤時無條件返回 HTTP 400 錯誤代碼，這個修複方式不夠。

到 7 月 20 日，騰訊發布搜狗輸入法新版本算是徹底解決了問題，其中 Windows 版為 13.7 版，Android 版為 11.26 版，iOS 版為 11.25 版。

建議使用搜狗輸入法的用戶升級搜狗輸入法最新版以修複漏洞，當然如果可以的話，最好直接禁用搜狗輸入法的聯網功能，禁用後會導致雲輸入功能失效，但安全性可以大幅度提升。