如何揪出 macOS 上隐藏的流量大户

你退了每个应用。关了每个浏览器标签。Wi-Fi 图标是你菜单栏上唯一该动的东西。但你路由器在显示持续 8 Mbps 上传，一小时一小时。你 Mac 某处有东西在通信——常见嫌疑都没开。在 macOS 上猎在帽子下藏的带宽吃货是跟追踪明显元凶不同的调试。

你 Dock 里可见的应用很少是真问题。藏的才是：辅助进程、系统守护进程、纯后台工具，以及登录启动的代理——根本没 UI。这篇走一遍怎么找到它们、给它们命名、决定怎么处理。

为什么 macOS 浮现的最糟带宽吃货是藏的

人们说 Mac 有藏的带宽吃货时，通常指四类之一：

1. 辅助进程 — Chrome Helper、Slack Helper 等。它们有你认识的父应用，但流量出现在不熟悉的 PID 下。
2. 系统守护进程 — cloudd、mediaanalysisd、nsurlsessiond、mDNSResponder、apsd。它们是 macOS 一部分、做真工作，但名字晦涩。
3. 纯后台应用 — 备份代理、杀软、RGB 灯光守护进程、没 Dock 图标的云同步客户端。
4. LaunchAgents 和 LaunchDaemons — 注册到 launchd 的小持久化程序，自启动，从不出现在 Cmd+Tab 切换器里。

这些每个以不同方式不可见，每个要求略不同方法正确归因流量。

找辅助进程并把它们归到父下

这是最常见困惑源。打开活动监视器 → 网络，你会看到这种：

Google Chrome Helper (Renderer)   45.2 MB sent
Google Chrome Helper (GPU)         0.8 MB sent
Google Chrome Helper (Plugin)      2.1 MB sent
Google Chrome Helper              18.4 MB sent
Google Chrome Helper              22.7 MB sent
Google Chrome Helper               9.0 MB sent
Google Chrome                      0.3 MB sent

七行，单独看没一个吓人，合计约 100 MB。Slack、Discord、Telegram、Teams、VS Code、Notion 和多数基于 Electron 的应用跟同样模式。

要正确归因辅助流量，你要么手工加行，要么用替你做的工具。

ova 自动做这种归并。少数其他工具也做。重点是：任何不归并辅助的按应用视图会低估你大 Electron 应用实际用多少。

解码最常见系统守护进程

这些是任何包含后台工作的进程列表你会看到的。简短现场指南：

cloudd

Apple 云守护进程。处理 iCloud 云盘、iCloud 照片上传，以及任何用 iCloud 作为同步后端的应用的 CloudKit 流量。这里大尖峰通常意味着照片在送原图，或第三方应用（笔记应用、书签同步）在对账。

nsurlsessiond

代表其他应用跑后台 URL 会话的系统服务——特别是 Mac 接电源在 Wi-Fi 上时。App Store 更新、后台下载的播客和 iCloud 上传都能在这里出现。发起应用经常藏在下一层。

mediaanalysisd

本地媒体分析（照片的人脸/物体识别、场景分析）。多数 CPU 和磁盘，但需要把结果同步到其他设备时触发 cloudd。如果 mediaanalysisd 忙而 cloudd 在上传，那两个通常一起工作。

softwareupdated

系统更新下载器。这忙意味着 macOS 在拉更新——可能 4 到 15 GB。

mDNSResponder

Bonjour / 多播 DNS。WAN 侧应该接近零。LAN 上重 mDNSResponder 流量通常意味着错配应用在过激广告，但不该吃你互联网套餐。

apsd

Apple 推送通知守护进程。维持到 Apple 服务器的长连接做推送通知。始终在线、非常低带宽，基本免费。

bird

iCloud 云盘的文件提供方守护进程。大尖峰意味着 iCloud 云盘在动数据。

assetsd

照片图库资产管理。常跟 cloudd 和 photoanalysisd 链着。

你忘了的纯后台应用

不同类的隐藏进程：完整应用故意从你 Dock 隐藏。常见的：

• 备份客户端 — Backblaze、Arq、Carbonite、iDrive
• 杀软和 EDR — Sophos、CrowdStrike、SentinelOne、Malwarebytes
• 云存储 — Dropbox、Google Drive、OneDrive、Box、Sync.com
• 硬件工具 — Logitech G Hub、Razer Synapse、OWC 软件、显示器校准工具
• 生产力工具 — Bartender、Hazel、Alfred（低流量但它们存在）
• 开发者工具 — Docker Desktop、Colima、JetBrains Toolbox、Tailscale、ngrok

前四类是动真带宽的。备份和杀软特别能在做初次同步或扫描大盘时每天动几十 GB。

怎样列举它们

三处要看：

1. 系统设置 → 通用 → 登录项与扩展。 列出所有自动启动的。一些没 UI 在后台跑。
2. 活动监视器 → 所有进程（显示菜单）。 这显示完整列表，不只是用户面对应用。
3. 终端：launchctl list | grep -v com.apple — 显示第三方 launchd 任务。

那些列表里你不认识的任何东西值得五分钟调查。

把流量钉到隐藏进程

一旦你有按应用或按进程的带宽视图，归因工作流是：

1. 发现尖峰。 实时（菜单栏现在显示 30 Mbps）或历史（昨天下午 2 点，有东西用了 5 GB）。
2. 找尖峰期间顶部进程。 带历史的监控让这琐碎；没有，你需要在它发生那一刻看着。
3. 查进程名。 如果是辅助，找父。如果是守护进程，用上面表。
4. 通过退出或暂停确认。 如果暂停嫌疑让流量停，你有答案。

看 ova 实战

一眼可瞄的菜单栏带宽监控——本地、签名、约 3 MB。

下载 macOS 版

元凶是系统守护进程时怎么办

这是更棘手的情况。你不能退 cloudd 或 nsurlsessiond——它们会重生，并且禁用它们破坏 macOS 部分。合适动作是找发起应用暂停那个。

走完一例：你导入装满 4K 视频的手机后，cloudd 上传 200 Mbps 一小时。原因是 iCloud 照片在推原图。修法是要么：

• 暂停 iCloud 照片同步（打开照片，滚到底，点暂停）
• 临时切到当前网络的低数据模式
• 等过去——新原图进 iCloud 后上传完成

对 nsurlsessiond，步骤类似：搞清楚哪个应用排了后台会话。常见发起者是 App Store / Mac App Store、音乐（下载已购音乐）、播客和用 URLSession 带后台配置的第三方应用。

建基线

知道"正常"什么样时藏的带宽吃货最容易发现。新启动后空闲：

• 合计吞吐量该是细流——千比特每秒，不是兆比特
• apsd、mDNSResponder 和少数小系统进程会轻轻滴答
• 空闲持续超过 1 Mbps 的任何东西值得调查

正常使用时跑像 ova 这种按应用监控几天，你很快认出你 Mac 的静息心率。那个模式外的任何东西都是 macOS 带宽吃货短名单的候选。

实操隐藏吃货审计

跑一次这个，你会比多数人对你 Mac 有更锐利视图：

1. 重启。等两分钟。
2. 打开 ova（或你按应用监控）。记下空闲基线——哪些进程有非零流量？
3. 打开系统设置 → 通用 → 登录项与扩展。跟你看到在跑的交叉对照。
4. 活动监视器 → 显示 → 所有进程 → 网络标签页。按发送字节排序。识别你不认识的任何东西并查。
5. 对每个不熟悉守护进程，决定：已知好（apsd、mDNSResponder、用 iCloud 的话 cloudd）还是值得调查。
6. 对每个纯后台应用：决定你是不是还想要它。卸载你不要的。

多数用户在这个审计里找到一两个意外——他们忘了的备份客户端、来自他们退回外设的硬件工具、几个月前打算关掉的云同步。

接下来做什么

如果你完全没在跑按应用带宽监控，那是回报最大的改动。没有，藏的吃货保持藏——活动监视器的网络标签页太笨拙不能住在里面。

具体下一步：

1. 装 ova 或另一个按应用带宽监控。
2. 跑上面审计。
3. 给这页加书签或给守护进程表截图——每次重新查 nsurlsessiond 烦人。
4. 每月再查。事情变；新登录项被加。

macOS 上的隐藏进程默认不恶意。它们在做你（或某应用）请求的工作。找 macOS 带宽吃货暴露的技能是能看到它们、给它们命名、决定你是不是还想要那工作发生。