AI Agent高權(quán)限進(jìn)駐成手機(jī)新賣點 “侵入式AI”卻已遭黑灰產(chǎn)利用

　　記者 付靜

　　12月1日，豆包手機(jī)助手技術(shù)首發(fā)，引發(fā)了市場高度關(guān)注。據(jù)悉，搭載豆包手機(jī)助手技術(shù)預(yù)覽版的中興通訊(000063.SZ)努比亞M153已開啟少量發(fā)售，豆包亦在和多家手機(jī)廠商推進(jìn)合作落地計劃。

　　被稱為AI Agent落地元年的2025年，華為、榮耀、OPPO、vivo等廠商紛紛在最新旗艦機(jī)型里注入AI Agent能力，此次豆包手機(jī)助手技術(shù)預(yù)覽版的發(fā)布也順應(yīng)了這一趨勢。不過，財聯(lián)社記者采訪獲悉，當(dāng)前部分AI Agent通過濫用無障礙權(quán)限等技術(shù)手段跨越應(yīng)用邊界，不乏有大規(guī)模數(shù)據(jù)采集等行為，甚至導(dǎo)致用戶隱私“裸奔”。

　　這一現(xiàn)象因技術(shù)屬性與傳統(tǒng)侵入式軟件相似而被專家稱作“侵入式AI”。更為值得關(guān)注的是，此前已有“黑灰產(chǎn)”利用無障礙權(quán)限實現(xiàn)驗證碼自動采集、搶票購物自動化等操作，引發(fā)多方擔(dān)憂。

　　無障礙權(quán)限已帶來風(fēng)險

　　“手機(jī)系統(tǒng)內(nèi)嵌AI Agent，擁有比普通App更高的系統(tǒng)權(quán)限，能跨應(yīng)用執(zhí)行復(fù)雜指令，完成復(fù)雜任務(wù)，相比目前‘智能手機(jī)+大模型/AI應(yīng)用’的體驗大幅提升�！本驮诙拱�手機(jī)助手技術(shù)首發(fā)之前，有媒體援引知情人士消息報道稱，字節(jié)、中興合作的AI手機(jī)核心差異化在于高權(quán)限Agent能力。

　　不過，財聯(lián)社記者了解到，無障礙權(quán)限帶來安全風(fēng)險的現(xiàn)象已較為普遍。

　　例如，近期多位網(wǎng)友在社交平臺稱，部分高校要求下載的某款A(yù)pp要求用戶開極高的權(quán)限。網(wǎng)友“吐槽”稱，“每次啟動這個App要先把淘寶、京東、拼多多等各種軟件全部過一遍；這個軟件操縱過我的手機(jī)，自己跳轉(zhuǎn)頁面開權(quán)限�！�

　　北京漢華飛天信安科技有限公司總經(jīng)理彭根告訴財聯(lián)社記者，已有“黑灰產(chǎn)”利用無障礙權(quán)限實現(xiàn)驗證碼自動采集、搶票購物自動化等操作，“這類AI操作路徑擬人化程度極高，傳統(tǒng)反制手段難以識別。”

　　走出去智庫總經(jīng)理、高級合伙人陸俊秀認(rèn)為，AI代理并非單一軟件工具，是構(gòu)建了完整的智能化用戶行為替代系統(tǒng)，其威脅已經(jīng)超出了單純的權(quán)限濫用范疇。

　　那么，前述“高權(quán)限Agent能力”是否存在隱私安全風(fēng)險？

　　財聯(lián)社記者查閱《豆包手機(jī)助手白皮書》獲悉，⾖包⼿機(jī)助⼿遵循授權(quán)同意、最⼩必要、⽤戶可控原則設(shè)計，并表示不會使⽤⽤戶敏感數(shù)據(jù)訓(xùn)練模型。

　　但值得關(guān)注的是，根據(jù)《白皮書》，⾖包⼿機(jī)助⼿在⼿機(jī)本地部署了⼀部分AI模型，主要包括OCR模型、⽂本向量化模型、命名實體識別模型、內(nèi)容識別模型、多模態(tài)⼤模型等，以實現(xiàn)數(shù)據(jù)僅在設(shè)備本地處理的⾼敏感隱私數(shù)據(jù)保護(hù)功能。換言之，除了該部分模型在端側(cè)處理，其他操作均在云端進(jìn)行。是否用戶在給出指令后即失去了掌控，或許還需進(jìn)一步確認(rèn)。

　　“沙箱”機(jī)制遭到突破

　　陸俊秀告訴財聯(lián)社記者，超出授權(quán)范圍、采取非常規(guī)手段的AI Agent，實則突破了傳統(tǒng)App的“沙箱隔離”機(jī)制。

　　公開信息顯示，沙箱(Sandboxing)是一種用于隔離正在運行程序的安全機(jī)制，目的是限制不可信進(jìn)程或不可信代碼運行時的訪問權(quán)限。

　　基于沙箱機(jī)制，操作系統(tǒng)為每個App劃分了自己的空間和區(qū)域，App之間的數(shù)據(jù)互相不能讀到，但如果無障礙權(quán)限開放，這一隔閡就被打亂。

　　另外，彭根介紹，與傳統(tǒng)腳本需要程序員編寫代碼不同，AI Agent無需代碼即可自主規(guī)劃任務(wù)、執(zhí)行操作，甚至能在夜間自動運行，實現(xiàn)了從“人手操作”到“自動化操作”的本質(zhì)轉(zhuǎn)變。

　　據(jù)悉，無障礙權(quán)限為安卓早期就有的權(quán)限，最初旨在為殘障人士和老年人提供輔助功能。但隨著技術(shù)迭代，如今部分手機(jī)基于無障礙權(quán)限可以自動完成App權(quán)限開啟、關(guān)閉等操作。

　　AI Agent具體如何利用無障礙權(quán)限“侵入”手機(jī)？據(jù)此前媒體報道，目前行業(yè)中有兩大主流方案：一是屏幕識別+模擬點擊；二是屏幕識別+意圖框架執(zhí)行官方接口(或類API)調(diào)用。其中，“屏幕識別 +模擬點擊”是更為通用的方案，AI Agent在讀取屏幕信息后，將模擬人用手指操作。

　　彭根提到兩點核心風(fēng)險：一是權(quán)限的無邊界擴(kuò)張，無障礙權(quán)限屬于系統(tǒng)級全局權(quán)限，一旦開放便擁有設(shè)備的完全操控權(quán)；二是行為主體的模糊化，AI成為實際操作主體，用戶可能失去對設(shè)備的直接控制，且其操作速度遠(yuǎn)超人類反應(yīng)，例如短信驗證碼可在用戶未查看前被AI捕獲。

　　AI Agent引發(fā)治理難題

　　財聯(lián)社記者獲悉，“侵入式AI”也引發(fā)了法律與治理難題。

　　浙江理工大學(xué)數(shù)據(jù)法治研究院執(zhí)行院長郭兵告訴財聯(lián)社記者，目前業(yè)內(nèi)關(guān)于無障礙權(quán)限的使用仍然存在爭議。他舉例稱：廣東省標(biāo)準(zhǔn)化協(xié)會明確禁止智能體利用無障礙權(quán)限操作第三方App，而中國軟件行業(yè)協(xié)會最新標(biāo)準(zhǔn)則弱化限制、強(qiáng)調(diào)用戶可控。

　　他還表示，由于潛在商業(yè)利益沖突，AI Agent運營方與第三方App的不正當(dāng)競爭案件可能隨時發(fā)生。

　　從國外案例看，公開信息顯示，亞馬遜曾起訴Perplexity AI，指控其AI助手Comet在未披露身份的情況下代表用戶在亞馬遜平臺購物，違反服務(wù)條款‌。亞馬遜指控Perplexity違反CFAA(《計算機(jī)欺詐與濫用法案》)、平臺規(guī)則并造成商業(yè)損失，而Perplexity則主張自己是“用戶授權(quán)的代理人”。

　　另外，陸俊秀表示，傳統(tǒng)機(jī)器人基于固定腳本，而AI Agent的能力持續(xù)擴(kuò)展，其混淆、加密等反追蹤技術(shù)也增加了監(jiān)管難度。

　　“用戶授權(quán)AI在不同App間遷移數(shù)據(jù)的行為，可能引發(fā)《網(wǎng)安法》下的數(shù)據(jù)保管責(zé)任邊界爭議，亟需法律層面回應(yīng)�！迸砀�表示。

　　據(jù)了解，隨著技術(shù)演進(jìn)，“侵入式AI”的風(fēng)險與治理難題還將持續(xù)演變。不過多位受訪者表示，權(quán)限邊界與授權(quán)機(jī)制將是治理核心，未來需設(shè)計動態(tài)授權(quán)、雙重授權(quán)等核心保障機(jī)制。