这种情况其实很常见:电脑并没有安装多少大型软件,也没有存储海量文件,但C盘的空间却持续减少。系统频繁提示磁盘空间不足,清理缓存、卸载应用都试过了,依然无济于事。最终,很多人只能怀疑——是不是Windows又在后台"偷偷占用"硬盘空间。
如果你最近也遇到类似问题,那么问题可能真不在你身上。
微软终于松口承认,Windows 11确实存在一个会导致系统文件异常膨胀的漏洞。一个原本只有几MB大小的数据库日志文件,居然能一路增长到200GB、500GB,甚至更高,悄无声息地将系统盘塞满。不少用户反映,这个问题其实几个月前就已经出现,但微软直到近期发布更新时,才在更新日志中用一句不起眼的话低调确认。
一个日志文件,竟能吃掉513GB磁盘空间
这次事件的"主角"并非病毒,也不是第三方软件,而是Windows自身维护的一个系统文件——CapabilityAccessManager.db-wal。它位于系统目录:
C:\ProgramData\Microsoft\Windows\CapabilityAccessManager
由于该目录受Windows保护,普通用户在资源管理器中看到的通常是"拒绝访问"的提示。因此绝大多数人根本不会注意到它的存在。
实际上,这个文件并非Windows的核心数据库,而是一个SQLite Write-Ahead Log(WAL,预写日志)文件。
SQLite是Windows内部大量组件使用的轻量级数据库。为了避免频繁写入主数据库影响性能,系统会先将新数据记录到WAL日志中,等积累到一定程度再统一合并回主数据库。正常情况下,这种机制既能提升效率,也能在异常断电或崩溃时保证数据完整性。
因此,WAL文件偶尔变大其实是正常的。但问题在于,它应该在合并完成后恢复到很小的体积。而这次Windows 11中的CapabilityAccessManager.db-wal显然不按常理出牌。
据外媒Windows Latest测试发现:在正常电脑上,这个文件通常只有1MB~2MB左右,整个CapabilityAccessManager文件夹也不到4MB;但在受影响的系统里,它会持续增长,从几十GB、上百GB一路膨胀到数百GB,最终将整个C盘占满。
目前公开案例中,最大的一个已经达到了约513GB。
Capability Access Manager到底是什么?
很多人可能是第一次听说Capability Access Manager。它其实是Windows中负责管理应用隐私权限的一项底层组件。
举个例子:哪个应用访问了麦克风、哪个调用了摄像头、哪个程序获取了定位信息、有没有进行屏幕录制或屏幕捕获……这些行为都会被它记录下来,方便Windows后续进行权限管理、审计和隐私控制。

从设计角度看,这种记录机制本身没有问题。而根据目前掌握的信息,Windows Latest推测,在Windows 11某次更新之后,Capability Access Manager不断记录新的权限事件,但日志却没有按照正常流程合并回数据库,而是持续堆积,最终形成一个越来越庞大的日志文件。
换句话说,并不是Windows在疯狂写日志,而是日志一直没有"收尾"。微软尚未公布完整的事故分析报告,因此外界暂时还无法确认具体是哪一段代码导致了这一异常。
几个月前,就有用户发现异常
如开头所说,这并不是一个突然冒出来的新漏洞。根据Windows Latest的梳理,早在几个月前,就有不少Windows 11用户开始反馈磁盘空间异常减少。
在微软Feedback Hub里,有用户发现:光CapabilityAccessManager.db-wal这一个文件,就已经占用了约200GB空间。
一位Reddit用户检查磁盘时发现:CapabilityAccessManager.db-wal已经涨到513GB,而Windows最常见的两个"大块头"——pagefile.sys和hiberfil.sys加起来也才不过29GB。
帖子下方的评论里,不少用户也留言反馈,自己的日志文件涨到了70GB、110GB、200GB不等。有人清理之后,文件暂时恢复到4GB或15GB,但很快又重新开始增长。
与此同时,过去几个月Windows Insider测试频道的用户也陆续报告过类似问题,但微软一直没有公开回应。
微软终于承认,但方式有点"低调"
直到6月29日发布Windows 11 KB5095093可选更新时,微软才第一次在更新日志中加了一句简短说明:
【Storage】本次更新优化了CapabilityAccessManager.db-wal文件的磁盘空间占用情况。

不过,让不少媒体和用户感到困惑的是,微软并没有进一步解释:漏洞会导致哪些现象?为什么系统文件会突然占用几百GB?哪些用户容易受影响?如何自行确认是否已经中招?更重要的是,截至目前,微软仍没有把它列入Windows Known Issues(已知问题)页面,也没有专门发布技术说明。

因此,如果没有仔细阅读更新日志,普通用户几乎不会意识到,这个看似不起眼的修复,其实对应的是一个足以吞掉数百GB磁盘空间的严重漏洞。
为什么很多用户根本发现不了?
这个漏洞最"隐蔽"的地方就在于,Windows并不会告诉你真正占用空间的是哪个文件。
在"设置→系统→存储→系统和保留"页面里,你只能看到System files(系统文件)可能已经占用了80GB、100GB,甚至几百GB,但Windows并不会进一步告诉你:到底是哪一个系统文件导致了这一切。
发现这一异常的Windows Latest编辑,恰巧是在一次全新安装系统后发现,自己的系统文件竟然已占用了89GB,另一台测试设备甚至达到了115GB。而电脑刚刚重装完成,应用程序很少,也没有开启休眠功能——这样的占用显然不合理。
直到微软更新KB5095093的更新说明后,他们才最终确认,真正的罪魁祸首就是CapabilityAccessManager。
如何判断自己有没有中招,又该如何修复?
最简单的方法,就是打开:设置 → 系统 → 存储 → 显示更多类别 → 系统和保留(System & Reserved),查看其中的系统文件(System Files)占用了多少空间。如果已经达到几十GB、上百GB,而你的电脑又没有安装太多软件,那么就值得进一步排查。
由于CapabilityAccessManager文件夹属于受保护目录,直接打开往往会提示"拒绝访问"。对此,Windows Latest推荐使用Windows自带的Robocopy工具,以只读方式读取目录信息,而无需修改任何系统权限。
当然,普通用户也可以借助TreeSize、WizTree、WinDirStat等磁盘分析工具,以管理员身份扫描整个系统盘,再按照文件大小排序,很快就能定位到异常膨胀的CapabilityAccessManager.db-wal:正常情况下,这个文件应该只有几MB左右;如果已经达到数GB,甚至还在持续增长,那么基本可以确认已经受到这一漏洞影响。

至于修复方法,目前最推荐的是安装微软已经发布的修复更新。用户可以通过Windows Update安装Windows 11 KB5095093,或者等待7月Patch Tuesday自动推送。
不过,对于那些C盘已经被占满、导致Windows Update无法继续安装更新的用户,处理方式会稍微复杂一些——Windows Latest建议,可以进入Windows Recovery Environment(恢复环境)或安全模式,将异常膨胀的CapabilityAccessManager.db-wal文件重命名,让Windows自动重新生成新的WAL文件。但切记,不要在正常运行的系统中直接删除系统文件,以免造成新的问题。
最后,这一漏洞很可能是在2026年2月或3月发布的Windows 11更新中引入的。虽然微软尚未公布完整技术细节,但考虑到Capability Access Manager会持续记录权限访问事件,根据不同用户安装的软件不同,调用摄像头、定位、麦克风等隐私权限的频率也不一样,因此受影响程度存在明显差异——所以对于这个漏洞,有人几乎没有感觉,有人却在几个月内被一个日志文件"吃掉"数百GB的磁盘空间。
