无码人妻一区二区三区AV|ysl水蜜桃86满十八岁会变|A片视频大全日韩特黄|看藏族那种aa片|六月婷婷电影亚洲av搜|成人无码高清资源在线|中国国产乱婬一级视频|免费看日韩成人内容|97超碰日韩在线|久久亚洲激情视频

近年來，隨著手機(jī)市場(chǎng)競(jìng)爭(zhēng)愈發(fā)激烈和生成式AI技術(shù)的不斷革新，手機(jī)AI助手成為一些手機(jī)廠商的重要升級(jí)方向。與此同時(shí)，其中一些手機(jī)AI助手利用手機(jī)系統(tǒng)層級(jí)“無障礙服務(wù)”或“事件注入權(quán)限”，采用自動(dòng)屏幕識(shí)別、模擬點(diǎn)擊等功能實(shí)現(xiàn)自動(dòng)化操作，由此帶來的用戶數(shù)據(jù)泄露風(fēng)險(xiǎn)和系統(tǒng)安全等問題，也引發(fā)了業(yè)界爭(zhēng)議。

AI助手獲取手機(jī)系統(tǒng)權(quán)限 易被黑灰產(chǎn)劫持

據(jù)了解，一些手機(jī)AI助手能實(shí)現(xiàn)用戶一步指令、助手多步驟操作，實(shí)現(xiàn)跨端跨app操作不停頓，無需使用者多次確認(rèn)，且操作和閃回速度極快。因此，有用戶擔(dān)心自己“被架空”，其中漏洞被黑灰產(chǎn)業(yè)利用，引發(fā)隱私安全問題。

北京理工大學(xué)智能科技法律研究中心研究員、民盟中央法制委員會(huì)委員王磊就此介紹稱，當(dāng)前一些手機(jī)AI助手使用的“事件注入權(quán)限”或者“無障礙服務(wù)權(quán)限”確實(shí)存在聚合過度問題。實(shí)踐中，為了實(shí)現(xiàn)跨應(yīng)用協(xié)同，AI助手需要獲取讀取屏幕內(nèi)容、模擬點(diǎn)擊等系統(tǒng)級(jí)高權(quán)限，若該類系統(tǒng)級(jí)能力缺乏有效的技術(shù)隔離與權(quán)限分級(jí)控制，AI助手可能在無充分授權(quán)情況下讀取敏感信息。

王磊認(rèn)為，市面上對(duì)這種系統(tǒng)級(jí)權(quán)限的授權(quán)方式偏向一次性授予，首次安裝時(shí)集中授權(quán)或長(zhǎng)期授權(quán)，用戶在實(shí)際使用中難以感知權(quán)限的持續(xù)調(diào)用情況。缺乏動(dòng)態(tài)授權(quán)機(jī)制意味著AI助手在后臺(tái)持續(xù)擁有高風(fēng)險(xiǎn)權(quán)限，而攻擊往往發(fā)生在用戶無操作意識(shí)的場(chǎng)景。

記者實(shí)測(cè)發(fā)現(xiàn)，一些搭載最新手機(jī)AI助手技術(shù)的手機(jī)，的確存在一定安全漏洞，其采用的AI智能體容易被黑灰產(chǎn)劫持。在這一過程中，手機(jī)AI助手相當(dāng)于集齊各房間守門權(quán)限的“門衛(wèi)”，一旦“門衛(wèi)”被騙，各個(gè)房間就門戶大開。

記者實(shí)測(cè)：手機(jī)AI助手瀏覽郵件 驗(yàn)證碼和照片瞬間被盜

相關(guān)安全專家向記者展示了一種新型攻擊行為：僅通過發(fā)送電子郵件就能完全控制一款搭載了最新手機(jī)AI助手的手機(jī)。安全專家先是在一臺(tái)手機(jī)上試圖登錄記者的銀行賬號(hào)，這時(shí)記者的手機(jī)收到驗(yàn)證碼，安全專家又向記者的郵箱發(fā)送了一封惡意郵件，記者的手機(jī)AI助手在瀏覽郵件和檢查郵箱時(shí)“中計(jì)”，完全遵照郵件中的指令，將剛剛收到的驗(yàn)證碼轉(zhuǎn)發(fā)給了安全專家。

在這一過程中，手機(jī)AI助手被劫持后完全自動(dòng)地按照攻擊者指令辦事，沒有進(jìn)行任何安全提醒。而作為各類互聯(lián)網(wǎng)業(yè)務(wù)安全驗(yàn)證最重要的安全屏障之一，驗(yàn)證碼“堡壘”一旦被攻克，用戶手機(jī)APP登錄和相關(guān)涉密和交易操作權(quán)限就可能被不法分子獲取，導(dǎo)致用戶隱私被竊、資金被盜、電信詐騙等后果。

這一漏洞，事實(shí)上還可以讓手機(jī)AI助手把用戶的自拍照發(fā)送給攻擊者，即使用戶手機(jī)相冊(cè)里沒有自拍照，也可以控制手機(jī)對(duì)用戶進(jìn)行“自拍”。而攻擊者一旦能獲得用戶的照片，就可以和AI生成視頻的技術(shù)相結(jié)合，用來繞過一些人臉識(shí)別機(jī)制；再加上竊取到的驗(yàn)證碼，當(dāng)前很多互聯(lián)網(wǎng)應(yīng)用的安全認(rèn)證措施都有可能被突破，進(jìn)一步地，銀行轉(zhuǎn)帳、個(gè)人賬號(hào)登錄、商業(yè)合同郵件往來等環(huán)節(jié)可能出現(xiàn)重大安全隱患。

“這相當(dāng)于無意中讓AI助手關(guān)注下郵件，結(jié)果整個(gè)手機(jī)就開始失控，你的驗(yàn)證碼和照片信息全都失竊，手機(jī)完全不設(shè)防?！毕嚓P(guān)安全人員介紹。北京師范大學(xué)法學(xué)院博士生導(dǎo)師、中國互聯(lián)網(wǎng)協(xié)會(huì)研究中心副主任吳沈括則表示，惡意郵件等釣魚型攻擊可能侵害賬號(hào)與身份驗(yàn)證機(jī)制，盜刷資金和財(cái)產(chǎn)，批量竊取個(gè)人信息和敏感數(shù)據(jù)，進(jìn)而利用竊取的信息實(shí)施各類詐騙以及身份冒用行為，甚至可能在后臺(tái)安裝惡意軟件，進(jìn)而濫用權(quán)限遠(yuǎn)程控制手機(jī)實(shí)施各種不法行為。

多名受訪專家認(rèn)為，一些手機(jī)AI助手在設(shè)計(jì)上過于“大包大攬”，容易導(dǎo)致越權(quán)?！癆I手機(jī)助手把原本必須由用戶親自確認(rèn)的看驗(yàn)證碼、復(fù)制粘貼、切換App、點(diǎn)擊確認(rèn)、發(fā)送等行為轉(zhuǎn)化成可以被誘導(dǎo)和自動(dòng)化執(zhí)行的流程。” 王磊介紹，“一旦黑灰產(chǎn)成功獲得無障礙權(quán)限，惡意應(yīng)用可以將屏幕上顯示和鍵盤上輸入的所有信息發(fā)送到遠(yuǎn)程服務(wù)器，阻止自身被移除或系統(tǒng)重置，甚至在設(shè)備重啟時(shí)自動(dòng)啟動(dòng)”

相關(guān)安全專家表示，如果讓手機(jī)AI助手全流程跨端跨App“自動(dòng)駕駛”，容易在不同的操作步驟間濫用手機(jī)系統(tǒng)級(jí)權(quán)限。最好是相關(guān)助手能與用戶和App形成更好的對(duì)接，建立用戶和App對(duì)AI助手的雙重授權(quán)機(jī)制，細(xì)化用戶和App對(duì)相關(guān)權(quán)限的感知和確認(rèn)。此外，用戶和App需要有一鍵喊停、臨時(shí)制止的權(quán)利，確?！绊\繩”始終掌握在用戶和更安全的平臺(tái)管理者手中。

第三方隱私風(fēng)險(xiǎn)易被“誤傷” 專家建議推動(dòng)產(chǎn)業(yè)內(nèi)良性合作

相關(guān)安全專家介紹，手機(jī)AI助手的數(shù)據(jù)處理方式較為整體，缺乏細(xì)化的授權(quán)管理舉措，當(dāng)其廣泛應(yīng)用于人際互動(dòng)場(chǎng)景時(shí)，還容易對(duì)第三方隱私造成誤傷。“比如當(dāng)用戶利用AI助手實(shí)時(shí)錄屏分析通話錄音、商務(wù)洽談內(nèi)容、生成會(huì)議紀(jì)要時(shí)，第三方參與者的個(gè)人信息勢(shì)必被一并記錄和處理。而且當(dāng)用戶與他人聊天的時(shí)候，一些手機(jī)AI智能體還會(huì)將用戶點(diǎn)擊按鈕前說的話也識(shí)別進(jìn)去。” 王磊說。

著眼建設(shè)AI智能體與App的良性合作關(guān)系，吳沈括建議稱，可以考慮推動(dòng)行業(yè)共同制定開放統(tǒng)一的AI協(xié)作標(biāo)準(zhǔn)，明確AI的調(diào)用邊界、數(shù)據(jù)共享規(guī)則和安全審計(jì)機(jī)制等要素。同時(shí)強(qiáng)化行業(yè)透明度和問責(zé)機(jī)制，各方也要投入資源提升廣大用戶的數(shù)字素養(yǎng)，牢牢樹立AI安全意識(shí)，并及時(shí)掌握必要的AI應(yīng)用技能。

全國政協(xié)委員、民盟遼寧省委會(huì)副主委李萌嬌認(rèn)為，從操作層面來看，手機(jī)AI助手和AI視頻生成應(yīng)用，在調(diào)用手機(jī)內(nèi)應(yīng)用權(quán)限和使用用戶數(shù)據(jù)方面，應(yīng)堅(jiān)持“最小必要原則”，即收集用戶個(gè)人信息應(yīng)限于實(shí)現(xiàn)處理目的的最小范圍；同時(shí)相關(guān)操作要取得用戶和相關(guān)應(yīng)用的同意才能進(jìn)行。

她表示，行業(yè)協(xié)會(huì)還可以牽頭制定AI行業(yè)個(gè)人信息保護(hù)規(guī)范，同時(shí)建立 AI 智能體安全認(rèn)證制度。從監(jiān)管執(zhí)法上看，可以開展相關(guān)專項(xiàng)檢查，并建立便捷投訴舉報(bào)機(jī)制，形成社會(huì)監(jiān)督合力。

王磊認(rèn)為，要讓AI助手真正更安全，核心是明確劃定其能力邊界，要求AI助手“只能在特定條件下做特定事”，從“無照駕駛”轉(zhuǎn)向“有軌交通”。

首先，盡量不要把無障礙當(dāng)成跨App自動(dòng)化的默認(rèn)通道，能用更受控的官方接口就不用高度統(tǒng)合的通道；而對(duì)驗(yàn)證碼、改綁、支付確認(rèn)這類高危動(dòng)作，要求AI助手最多只能做到給出建議，或者跳轉(zhuǎn)到受保護(hù)界面；

其次，驗(yàn)證碼、密鑰等不能被助手自動(dòng)轉(zhuǎn)發(fā)或復(fù)制到外部通道，任何對(duì)外發(fā)送都要顯式確認(rèn)并留存操作記錄；

此外，在生態(tài)層面做更嚴(yán)格的上架審計(jì)與動(dòng)態(tài)治理。王磊表示，國外一些應(yīng)用廠商對(duì)無障礙使用場(chǎng)景的邊界有嚴(yán)格且明確的規(guī)定：任何利用無障礙接口，使應(yīng)用能夠自主發(fā)起、規(guī)劃并執(zhí)行操作或作出決策的行為，均被嚴(yán)格禁止。