[数码讨论]揭秘AI手机的 “上帝权限”，看其如何跨 App 替你操作 [复制链接]

图片来源：视觉中国

蓝鲸新闻12月5日讯（记者 朱俊熹）上线不到一周，字节跳动联手中兴打造的首款“豆包助手”AI手机便卷入舆论风波。部分首批用户在试用过程中，遭遇无法登录微信、被多款银行App弹窗预警等状况。一时之间，究竟该不该“让AI接管手机”成为公众讨论焦点。

12月5日，豆包手机助手团队再发声明称，为了让技术发展、行业接受度和用户体验多方都能形成良性适配，计划在接下来的一段时间，在部分场景对AI操作手机的能力做一些规范化调整。具体调整包括但不限于，一是限制刷分、刷激励的使用场景；二是进一步限制金融类应用的使用；三是限制部分游戏类使用场景。

在科技公司的炫目演示中，AI仿佛已化身万能助手，为用户带来科幻般的便捷生活。然而，背后的隐私安全疑虑就如同一团迷雾。更深处的暗流，是各家应用平台的商业利益之争。留给用户的疑问是，AI究竟如何接管你的手机，信息安全又该怎样得到保障？

谁在操控你的手机？

12月3日，针对外界关于“豆包手机助手拥有操作系统高危权限”的质疑，团队发布了澄清声明，强调不存在任何黑客行为。

声明指出，豆包手机助手拥有INJECT_EVENTS权限，确实是系统级权限。但其技术实现依赖Android系统级权限，有更严格的使用限制。只有拥有INJECT_EVENTS权限许可，产品才能跨屏、跨应用来模拟点击事件，完成用户操作手机的任务需求。而豆包手机助手需要经过用户主动授权后，才可以调用该权限。

“据我们了解，目前行业的AI助手，均需要使用该权限（或与其类似的无障碍权限）才能提供操作手机的服务。”团队表示。

INJECT_EVENTS权限允许应用向系统注入输入事件，例如模拟用户的点击、滑动、按键等操作。这意味着，拥有该权限的程序可以在系统层面像用户一样控制手机屏幕。而无障碍权限是Android系统为视障、听障等群体设计的辅助功能。获得无障碍权限后，应用可以读取屏幕内容，并执行点击、滑动等部分操作，权限能力相对更有限。

个人隐私保护专家、北京汉华飞天信安科技有限公司总经理彭根向蓝鲸科技解释称，INJECT_EVENTS权限属于更高等级的系统底层权限，需要手机厂商通过一定技术方式赋予，一般的应用无法直接获取。相比之下，无障碍权限是普通应用在安装后，经用户主动授权即可开启的权限集合，更强调用户的知情与同意。

而在今年8月，大模型厂商智谱AI在发布智能体AutoGLM 2.0时表示，引入了“云手机/云端桌面”式执行形态，可在云端自主完成跨应用任务，无需依赖终端的无障碍权限。

有知情人士告诉蓝鲸科技，AutoGLM选择的路径不同于豆包手机助手。它直接To C依托云设备，不依赖手机厂商，从而避免执行时抢占用户屏幕，并降低适配多家不同系统的成本，符合现有系统生态。

在通过不同渠道获取必要权限后，AI助手才能做到接管人类手机，执行各种跨App任务。具体操作方式大致分为两类。目前更为主流的是基于GUI的视觉路线，即AI Agent通过阅读和理解屏幕内容，模拟点击、滑动等动作来代替用户操作。在这种模式下，智能体并不需要获得第三方App的许可，可以绕开各家应用的限制。

而另一种可行的路径则需要Agent或手机厂商与App方达成协议，通过官方API接口来调用应用功能。

据官方介绍，豆包手机助手的操作手机Pro模式除调用GUI Agent外，还可直接调用手机终端的系统工具。演示视频显示，在操作手机Pro模式下，当用户说“帮我给女儿推荐几个礼物放进购物车”时，若记忆中已存储女儿的年龄、兴趣等信息，助手可直接查询符合女儿年龄、偏好的方案，无需用户逐一交代细节。

一位业内人士对蓝鲸科技表示，如果从用户的数据安全出发，更好的做法是推动各方主体的合作而非竞争。“但做接口方案的主动权在App厂商手上，而不在Agent方面。”他指出，“安全与权限之争只是表层，深层是决策权的争夺。”

如果AI Agent成为统一入口，用户不再直接操作各个App，势必对应用端的用户数据、商业模式构成挑战。

类似的纷争在国外已初现端倪。今年11月，亚马逊以侵权为由起诉AI搜索创企Perplexity，试图阻止其通过智能体工具帮助用户在亚马逊上购物。Perplexity回应称，亚马逊本应欢迎这种便捷购物，因为这意味着更多交易和更满意的客户，但它“更关心的是投放广告、显示赞助结果，以及通过附加销售和复杂优惠来影响购买决策”。

豆包手机助手团队在最新声明中表示，“目前，我们也在积极寻求与各应用厂商的深度沟通，希望推动形成更加清晰、可预期的规则，避免用一刀切的方式否定用户合理使用AI的权利。”

华为小艺、小米小爱曾试水调用微信，后放弃执行

回到此次豆包手机助手争议的导火索，是多位用户反馈若涉及操作微信，会出现微信异常退出甚至无法登录的情况。

12月3日，豆包手机助手团队回应称，后续已下线手机助手操作微信的能力，样机上被禁止登录的微信账号正陆续解封，请用户等待一段时间并尝试重新登录。微信方面则表示，并没有特别动作，可能是触发了微信原有的安全风控措施。

图片来源：豆包手机助手用户群截图

《腾讯微信软件许可及服务协议》中明确指出，不得通过非腾讯开发、授权的第三方软件、插件、外挂、系统，登录或使用微信软件及服务，或者进行自动化操作。也不得自行或者授权他人、第三方软件或系统等对微信软件及其组件、模块、数据进行控制、访问、读取或干扰。

搭载豆包手机助手的工程样机nubia M153，并不是业内首款标榜“让AI接管手机”的产品。而通过AI智能体在微信上完成发消息、点赞等操作，也成为众多厂商展示其智能体能力的典型场景。

2024年11月，智谱推出升级后的第一代智能体产品AutoGLM。在发布活动现场，智谱CEO张鹏通过语音指令，让手机里的AutoGLM在微信中创建面对面群聊，并发放一百个红包。然而在今年发布AutoGLM 2.0时，智谱的官方演示中不再提及微信，却依然支持操作美团、京东、小红书、抖音等数十款高频应用。

此外，手机厂商华为的AI助手小艺也曾支持自动打开微信，帮助用户发送消息。但目前，华为小艺、小米小爱等手机厂商自有的AI智能体已无法直接调用微信功能。原因可能在于，微信作为国民级应用，对任何自动化操作都保持极高风控敏感度，因此也成为此次豆包手机助手最先触发风险的场景之一。

至于银行、互联网支付等金融场景，豆包手机助手团队称其直接关联用户的资金安全。虽然豆包手机助手在敏感操作时都需要用户授权，但审慎起见，也将暂时下线操作这类APP的能力。

在《豆包手机助手隐私安全白皮书》中，包括金融与交易操作、高风险不可逆操作、健康与医疗数据处理等在内的六大类操作被归为高敏操作，需要用户二次确认后才能接入并执行。

另有手机智能体厂商告诉蓝鲸科技，当涉及支付、内容发布等敏感操作时，其Agent系统会强制请求用户确认，或由用户直接“接管手机”完成。此外，厂商还会通过工程策略和权限边界来防止“超指令”行为，高风险步骤默认不自动执行。

在蓝鲸科技此前的实测过程中，使用豆包手机助手操作多家银行App时，中国建设银行App会主动弹窗提示，建议用户退出录屏或共享软件“AI操作手机”，以保障个人信息及资金安全。中国农业银行App则在豆包手机助手进行转账操作期间，因停留时间过长而触发类似安全提醒。中国交通银行App并未作特别警示，直至涉及具体转账动作时，豆包手机助手会转换到手动操作模式。

图片来源：蓝鲸科技实测截图

记者查阅发现，上述几家银行App在个人电子银行服务协议中均提及，用户应妥善保管身份认证要素，不得提供给或交于任何第三方使用。交通银行App还明确规定，用户通过自动脚本或第三方外挂系统登录和使用电子银行服务，银行有权采取包括但不限于限制电子银行服务交易额度和频次、暂停或终止部分或全部电子银行服务的措施。

在最新声明中，豆包手机助手称会积极与金融类应用相关厂商沟通，“希望共同制定清晰、安全的AI操作行为准则”。

中国社会科学院大学互联网法治研究中心主任刘晓春则表示，AI智能代理行业尚处初期，技术与规范尚在探索。对这类创新技术，需以包容审慎态度，在精准规范风险的同时为创新留出空间，助力行业良性发展。

AI接管手机：便利与风险的边界之争——从“豆包助手”风波看智能体时代的信任重构

---

一、事件回顾：一场“技术越界”的舆论风暴

字节跳动携手中兴推出的首款搭载“豆包手机助手”的工程样机nubia M153，在上线不到一周内便陷入巨大争议。这款被寄予厚望的AI原生设备，本意是通过大模型驱动的智能代理（AI Agent）实现跨App自动化操作，为用户打造“动口不动手”的未来生活图景。然而，现实却迅速将理想拉回地面。

多位首批试用者反馈：在启用豆包助手后，微信频繁闪退甚至无法登录；多家银行App弹出安全警告，提示存在录屏或第三方控制行为；部分游戏出现异常封号风险。这些现象不仅动摇了用户体验的信心，更引爆公众对隐私泄露、权限滥用与平台博弈的深层忧虑。

面对舆论压力，豆包团队于12月5日发布最新声明，宣布将在多个高敏场景进行“规范化调整”，包括限制刷分激励、金融类应用及部分游戏的操作能力，并承诺积极与各App厂商沟通，推动建立可预期的AI操作规则体系。

这一系列动作折射出一个核心矛盾：  
> 当AI开始代替人类操控手机时，谁才是真正的“主人”？

---

二、技术透视：AI如何“接管”你的手机？两种路径的博弈

要理解这场风波的本质，必须深入解析AI智能体实现“手机操控”的底层逻辑。目前主流技术路径可分为两类：

（一）基于GUI的视觉模拟路径（以豆包为代表）

该模式依赖Android系统的INJECT_EVENTS权限或无障碍服务（Accessibility Service），使AI能够像真实用户一样“看”屏幕、“点”按钮、“滑”页面。

- 工作原理：
  - AI通过OCR识别当前界面元素；
  - 结合自然语言理解判断用户意图；
  - 模拟点击、长按、滑动等输入事件完成任务。
- 优势：
  - 无需App官方授权即可跨应用操作；
  - 可覆盖绝大多数现有App，适配成本低；
  - 实现真正意义上的“无感交互”。

但正因其“绕开围墙花园”的特性，也埋下多重隐患：

| 风险维度 | 具体表现 |
|--------|---------|
| 权限等级过高 | INJECT_EVENTS属于系统级高危权限，理论上可模拟任意操作，接近“root级控制” |
| 用户感知弱化 | 多数用户并不清楚该权限意味着什么，易造成“知情同意”缺失 |
| 安全机制误判 | 微信、银行等App将此类行为视为外挂或爬虫，触发风控策略 |

彭根指出：“INJECT_EVENTS并非普通权限，它需要手机厂商配合开放，本质上是一种‘白名单机制’。一旦滥用，后果远超传统APP权限问题。”

（二）基于云端执行+API调用的协同路径（以智谱AutoGLM 2.0为代表）

不同于终端本地控制，此类方案采用“云手机”架构，在远程虚拟设备中运行AI Agent，仅将结果返回给用户。

- 关键技术特征：
  - 使用云端Android实例执行任务；
  - 通过官方开放接口（如小程序API、开放平台SDK）调用功能；
  - 终端不直接参与操作流程，避免抢占屏幕。
- 优点显著：
  - 规避本地权限争议；
  - 减少对手机厂商和操作系统的依赖；
  - 更易纳入监管框架与合规审查。

但其局限亦明显：需App方主动开放接口，落地难度大；响应延迟较高；难以处理复杂个性化任务。

> “这不是技术路线的选择，而是生态话语权的争夺。”一位不愿具名的技术专家评价道。

---

三、冲突本质：不只是安全问题，更是“数字主权”的再分配

表面上看，“豆包事件”是一场关于隐私与权限的技术争议；深挖之下，则暴露出数字经济时代三大主体之间的结构性张力：

1. 用户 vs 平台：谁掌控我的数据与行为？

用户希望获得便捷服务，但不愿牺牲控制权。而AI助手一旦拥有持续监听指令、记录操作轨迹的能力，便可能演变为“永远在线的数字管家”，进而形成对个人行为模式的深度建模。

- 若AI能自动登录微信发消息、浏览朋友圈点赞，是否意味着它已掌握用户的社交关系网？
- 若可代为操作银行转账、查询余额，是否等于获得了财务决策代理权？

这些问题触及现代数字人格的核心——行为自主性。

刘晓春强调：“我们不能把AI当成工具那么简单。当它具备记忆、推理和行动能力时，实际上已成为一种新型‘数字代理人’，必须重新定义其法律地位和责任边界。”

2. AI厂商 vs 应用生态：入口之争的白热化

微信、支付宝、京东等超级App长期以来构建了自己的封闭生态，掌握着流量入口与用户触点。如今，AI Agent试图成为“统一入口”，直接穿透这些围墙，引发强烈反弹。

典型案例：
- 华为小艺、小米小爱曾短暂支持微信自动化操作，后因腾讯施压悄然下线；
- 豆包助手演示中可一键创建微信群、发红包，直击微信核心交互场景；
- 国外Perplexity被亚马逊起诉，因其AI购物助手绕过广告推荐系统促成交易。

这背后是一场关于注意力经济主导权的战争：
- 原有模式：用户打开App → 浏览内容 → 点击广告 → 完成转化；
- 新模式：用户语音提问 → AI直接执行 → 跳过中间环节 → 目标达成。

后者极大压缩了平台的变现空间，自然招致抵制。

3. 创新激励 vs 监管审慎：如何平衡发展与安全？

中国社会科学院大学互联网法治研究中心主任刘晓春的观点值得深思：“AI Agent尚处早期阶段，既不能放任不管，也不能一刀切禁止。”

当前困境在于：
- 技术跑得太快，法规尚未跟上；
- 用户期待高，但认知不足；
- 厂商急于抢占市场，忽视长期信任建设。

在这种背景下，简单归责于某一方并不公平。真正的出路在于建立多方共治的治理框架。

---

四、破局之道：迈向可信AI代理的五大支柱

要让AI真正成为值得信赖的“数字伙伴”，而非令人担忧的“隐形操控者”，需从以下五个维度系统构建信任基础：

（一）权限透明化：让用户真正“知情并可控”

- 所有高危权限调用应提供可视化说明，例如动态展示“即将模拟点击【发送】按钮”；
- 引入“权限沙盒”机制，限定AI只能在特定时间、特定应用内执行任务；
- 提供“一键暂停所有AI操作”开关，并默认关闭敏感场景自动化。

> 参考欧盟《人工智能法案》中的“人类监督义务”，确保关键决策始终由人最终确认。

（二）行为可审计：建立全过程操作日志

- 每一次AI操作都应生成不可篡改的日志，包含时间、目标App、执行动作、输入输出内容；
- 日志可供用户随时查阅，并支持导出用于纠纷举证；
- 对涉及金融、医疗、社交传播的操作强制加密存储。

此举不仅能增强用户安全感，也为未来可能出现的责任认定提供依据。

（三）生态协作机制：共建开放但受控的API联盟

建议由工信部牵头，联合头部AI企业、手机厂商与App平台，发起“智能体互操作协议联盟”：

- 制定统一的AI调用规范与认证标准；
- 推动高频应用逐步开放非核心功能接口（如微信允许AI创建群聊但不可读取消息）；
- 设立第三方仲裁机构处理权限争议。

类似苹果的Shortcuts自动化平台，既保留灵活性，又保障安全性。

（四）风险分级管理：实施动态敏感度评估模型

参考金融领域的KYC（了解你的客户）原则，建立“KYA（Know Your Action）”机制：

| 风险等级 | 示例场景 | 控制策略 |
|--------|--------|--------|
| 极高 | 支付转账、身份验证 | 禁止自动执行，必须手动接管 |
| 高 | 发布动态、修改设置 | 需二次确认 + 生物识别验证 |
| 中 | 查询信息、添加购物车 | 可自动执行，生成操作提醒 |
| 低 | 打开应用、播放音乐 | 默认启用，支持批量授权 |

该模型可根据用户习惯、环境上下文动态调整，实现“精准放行、重点防守”。

（五）伦理先行：设立AI代理行为准则与行业自律公约

技术可以中立，但应用必须有底线。建议由中国人工智能产业发展联盟（AIIA）主导制定《AI智能体伦理指南》，明确禁止以下行为：

- 秘密收集用户对话历史用于训练；
- 自主发起未经明确授权的内容传播；
- 操纵用户做出违背其利益的决策（如诱导消费）；
- 在未告知情况下将操作委托给其他Agent。

同时鼓励企业设立“AI伦理委员会”，引入外部专家监督算法行为。

---

五、未来展望：从“接管手机”到“共生共治”的智能新范式

“豆包助手”的风波不是终点，而是一个起点。它标志着我们正式进入一个全新的技术阶段——AI不再只是回答问题的聊天机器人，而是能采取行动的数字实体。

在这个新时代，我们需要重新思考几个根本命题：

- 当AI替你买东西、交朋友、理财看病时，它是“你”的延伸，还是另一个独立的存在？
- 如果AI犯错导致经济损失，责任应由开发者、使用者还是AI本身承担？
- 我们是否需要为AI设立“数字身份证”与“行为信用分”？

或许终有一天，每个用户都将拥有自己的“私人AI代理”，它们彼此之间也能协商、合作、竞争。那时，手机不再是被动的工具，而是一个活跃的“数字生态系统”。

而在通往那个未来的路上，每一次争议都是警钟，每一场讨论都是奠基。

正如刘晓春所言：“包容审慎，不是纵容，也不是压制，而是在不确定性中寻找确定性的智慧。”

唯有如此，AI才能真正成为人类的助手，而不是对手。

---

> 结语：  
> “让AI接管手机”不是一个技术问题，而是一场关于信任、权力与文明演进的社会实验。  
> 我们正在书写的，不仅是代码，更是下一代数字社会的契约。