根据您使用的 AV，这会有所不同。一些引擎将文件发送到云端并生成签名。在这种情况下，答案是肯定的，他们将文件发送到云端，这是一个隐私问题（在某些国家/地区）。另一方面，一些引擎从文件中获取指标并将这些指标发送到云端进行后期分析或其他任何事情。我建议您查看 AV 的条款和条件，您可能会找到答案。或者只是问他们，特别是他们扫描的信息是否受到保护并且无法传输之类的。

至少在一些 AV 产品（卡巴斯基是我熟悉的产品）中，本地应用程序具有签名和启发式/行为控制。它正在做的是（我认为）三件事：

1. 如果有疑问（启发式和行为检测是统计系统，因此它们可能无法 100% 确定如何对某物进行分类），或者看起来错误但与签名不匹配，则上传文件可以允许人工检查和更新签名，以便其他系统得到更准确的保护。
2. 如果不清楚或用户已指定他们将选择所有操作，则检查其他用户如何处理同一文件可能很有用。如果大多数人阻止它，则可以告诉用户。（我已经多次使用这个工具来获得对“奇怪”系统进程的舒适感，我无法判断它们是否需要或浪费资源。）
3. 反恶意软件公司也经常跟踪恶意软件。如果他们无法获得检测到的反馈（以及看到的变体或新行为），他们就无法准确地完成自己的工作。举个简单的例子，Stuxnet 显然只有在检测到某些硬件和地理区域时才尝试攻击。（比如说）加拿大的防病毒公司可能永远不会看到很多文件来分析它们，除非他们在其他位置的软件可以自动将可疑文件转发给他们。

与此相反，很多时候散列（用作唯一标识文件的数值）就足够了，并且发送速度更快，所以我预计很多时候，这就是发送和检查的内容。您可以在网站 virustotal.com 上看到这一点，它让您输入文件的哈希值，而不是上传整个文件本身。

是的，存在安全问题。但是考虑到系统内授予反恶意软件包的权力，如果你不信任它们，你将比他们的云设施更担心......

防病毒软件经常将可疑文件发送给它们的编辑器，以供人类进一步分析，以确定它们是否真的有害。如果您这样做，这绝对是一个隐私问题，您应该在决定是否继续使用之前考虑一下。

某些防病毒软件（例如 Avira）默认在发送每个文件之前都会提示您。如果您这样做，那么保持该选项处于活动状态并没有什么害处。如果没有，并且您对某些文件可能被人类看到感到不满意，您可能应该将其关闭。