极目新闻评论员 纪平
近日,媒体报道,有安全专家公开展示了手机AI助手的安全漏洞,称其可通过恶意邮件窃取验证码、照片等信息,引发了公众对手机AI助手安全问题的热议,让AI终端技术的安全边界成为关注焦点。
2月27日,针对相关争议,豆包手机助手官方账号发出声明,回应了几个关键点:其一、网传的漏洞演示视频,需要用户主动要求AI查看恶意邮件或恶意短信,才会触发攻击。如果没有用户指令,AI并不会去自动执行高风险操作。其二、针对视频演示的攻击方法,豆包手机助手已升级了相应的防护措施。声明同时指出,截至目前并未收到相关漏洞的详细报告,也未接到监管部门通报,这种未经上报及修复漏洞,就恶意传播并夸大漏洞风险,属于典型的黑公关行为。
技术的进步是一条进无止境的道路,客观而言,AI技术发展过程中,风险与创新本就相伴而生。豆包手机助手的回应算得上坦诚,手机AI助手确实存在一定的潜在风险,但触发风险有特定前提,并非网络渲染的那般无孔不入,也可以通过升级防护措施降低风险,任何系统都存在漏洞,不应通过炒作漏洞否定AI终端技术创新。
相关方发现产品漏洞后,未按正当流程向厂商反映,反而急吼吼地将之公之于众,并且刻意夸大风险,超出了正常行业测评和监督的边界,很难说没有怀着煽动情绪,博取眼球的心思。
这一行为看似提醒公众提高警惕,实质上违背了网络安全领域的基本准则。《网络产品安全漏洞管理规定》第九条明确要求,不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;确有必要发布的,也应与相关网络产品提供者共同评估协商,并向监管部门报告。
为什么会有这样的流程规定呢?道理很简单。因为“漏洞”很难完全避免,如果是厂商、用户先发现,它就是亟须修补的缺口,但若是不法分子先发现了,它就很容易成为被集火攻击的“弱点”。如果某个漏洞在厂商还没来得及修补时就公之于众,这个漏洞就被称为“零日漏洞”,所有看到信息的人,包括大量的黑灰产从业者,都会立刻知道系统哪里最薄弱。而普通用户对此束手无策,不法黑客却可以利用时间差发起大规模扫描和攻击,产生难以预料的严重后果。
因此,如果仅仅跳出来高喊“XX有重大漏洞,很危险!”,只会制造恐慌,给黑客“递刀”,不但无助于问题解决,反而会将用户置于更危险的境地。规定要求安全漏洞必须“先修补后发布”或“发布同时提供修补或防范措施”,就是为了让防守方先拿到“盾牌”,平衡公众知情权与整体网络安全。这也意味着,负责任的披露行为,核心目的是帮助公众提升安全保障,而不是为了博取流量、炫耀技术或打击竞争对手。
世上本就没有绝对安全的系统,任何技术产品都可能存在漏洞,AI终端作为前沿创新领域更是如此。网络安全战不可能一劳永逸,而是一场“持久战”。攻击手法持续翻新,防御体系就要不断迭代,在攻防对抗之中提升能力,降低风险,筑牢安全堤坝。因为,在这一领域要摒弃“曝光即正义”的思维,要通过合规渠道推动漏洞清零,在风险预判中实现技术突破。
面对AI助手的潜在安全风险,正确的态度绝非一味放大恐慌、动辄“破防”,而是各方共同设防:厂商需秉持最小必要原则,持续优化产品、升级防护,明确AI的能力边界;监管部门要完善制度规范,强化行业监督,推动建立AI数据处理的统一标准。用户也需提升数字素养,做好权限管理,避免个人信息遭到不必要的泄露;发现漏洞的机构和个人,则应遵循相关法律原则,通过合规渠道协助厂商修复,构建多元联动、多方共治的安全体系。
值得关注的是,也就是在这场风波发生的同时,三星推出了旗舰款Galaxy S26系列手机,谷歌Gemini赋能的手机自动化操作成为重要关注点,不少业内人士称其为“谷歌版豆包手机”。可以看出,屏幕视觉理解与自动化操作能力,正是当前全球AI终端领域的前沿技术创新方向,而中国在这一领域已处于全球领先地位,“从中国复制”渐成全球业界潮流。
任何前沿技术的发展与成熟,都需要时间积累与试错空间,必然经历持续的更新完善。在全球科技竞争白热化的当下,更应摒弃恶意炒作的不良风气,强化对AI领域的鼓励与支持,营造包容审慎的竞争与监管环境。面对AI新产品、新能力存在的问题,要积极正视但不要轻易唱衰,要主动设防而不是随意“破防”,坚守合规底线,完善行业规范,淬炼技术本领,践行长期主义,才能护航中国AI创新在安全前提下稳步前行,在世界舞台上大放异彩。