AI Agent元年：效率革新与隐私安全的双重挑战

2025年无疑是AI Agent技术爆发的标志性年份，智能助手正以前所未有的速度融入日常生活。

从Manus的迅速走红，到各大手机制造商竞相推出并迭代端侧AI助手，可见产业界已敏锐察觉到这一领域蕴藏的巨大机遇。

与传统的大语言模型相比，AI Agent的能力已超越简单对话，向着任务自动化方向演进。

用户仅需一句自然语言指令，手机便能自动完成点外卖、发红包等以往需要多步操作的繁琐任务，极大提升了效率。

多数AI Agent能够代管手机，核心在于利用了安卓系统的无障碍权限。这一原本为视障人士设计的辅助功能，允许应用读取屏幕内容并模拟点击、滑动等操作。如今，厂商借此权限实现AI的自动化能力。

然而，当前这份便捷背后实则暗藏风险。在无障碍权限完全开放的情况下，AI应用几乎拥有“全知全能”的权限，可能读取包括支付密码、私密聊天记录在内的敏感信息，甚至进行随意点击操作。

一个清晰的趋势是，随着AI Agent技术持续迭代，人类将越来越习惯于被智能助手包围的生活方式。

因此，当下亟需深入理解AI Agent的运行逻辑，并探索未来产业应走向何方，以在“效率提升”与“安全保障”之间找到可持续的平衡点。

AI Agent的“翻墙”困境

手机端侧大模型已成为AI时代争夺新一代流量入口的关键战略高地。 Counterpoint预测，到2027年全球AI手机渗透率将达40%，出货量有望突破5.22亿部。

2024年6月，苹果公司发布端侧大模型Apple Intelligence，将其新一代Siri定位为全能智能助手。国产手机厂商迅速跟进，推出了小米MiLM、vivo蓝心大模型、OPPO安第斯、荣耀魔方等自研端侧模型。

AI厂商也开始布局端侧业务，例如OpenAI基于GPT大模型推出智能体Operator，智谱也发布了手机智能体AutoGLM。

尽管参与者众多，攻克这一“兵家必争之地”仍存在显著难点。从人类操作手机到AI代理操作，最核心的挑战是如何跨越应用程序之间的隔离屏障。

安全团队网络尖刀创始人曲子龙在接受采访时指出，各类App之间通常设有隔离机制以防止数据互读，只有通过对应的API接口才能进行调用。

因此，AI Agent要实现替代人工操作，第一步必须学会“翻越”这些隔离墙。

“目前行业内主要存在两种技术路径。”一位头部AI公司的技术人员透露，一种是接口模式，即手机厂商与应用厂商达成协议，通过意图框架和开放接口来实现操作；另一种是非接口的纯视觉方案，直接调用手机的无障碍权限等系统级权限，无需经过第三方App授权即可执行操作。

对于厂商而言，选择技术路径需权衡多个因素：一是AI Agent的实际效果；二是开发AI功能的经济效益；三是用户数据安全及隐私保护问题。

该技术人员进一步解释，接口方案避免了直接扫描用户屏幕，安全性较高。但其显著弊端是过度依赖生态共建。各厂商标准不一，导致应用开发者需要针对不同手机品牌进行单独适配，开发成本显著增加。

调用无障碍权限则存在操作延迟、准确率有待提升等问题，同时由于需实时获取屏幕信息，涉及较多隐私，存在一定的安全风险。“但其最大优势在于开发速度快、通用性强，不受特定APP限制。”

或许是为了快速、低成本地抢占这一庞大市场，目前多数端侧AI工具的厂商选择了利用现有的无障碍权限模块来实现AI Agent功能。

“用户跨APP的数据使用，理应在双重授权下进行，但无障碍权限一旦开放，便绕过了第三方APP的授权环节。”该技术人员强调，这种模式下用户数据若被滥用，责任界定将变得模糊，难以追责。

中国社会科学院法学研究所副研究员唐林垚曾指出，实践中，端侧大模型部署环境存在隐私保护的三大缺陷：知情同意往往流于形式、多方主体责任划分不清以及用户权利难以实质性实现。

今年以来，行业层面已推出多项关于无障碍权限与智能体应用结合的管理规则。但值得注意的是，这些规则多为倡议性质，并非强制性标准，企业采纳与否主要依靠自愿。

权限滥用或成黑灰产温床

权限开放本应是一项极为审慎的操作。

但随着应用程序形态日益复杂，功能实现路径越发多样，用户对个人信息的交付过程也变得越来越无感。

在北京理工大学智能科技法律研究中心研究员王磊看来，尽管部分软件设置了弹窗提示，但在实际使用中，用户常会忽视或快速点击“同意”，导致合规保障机制的效果大打折扣。“目前，有部分AI应用在运行过程中缺乏与用户的互动授权机制，权利人的知情和授权未能得到有效保障。”王磊表示。

屏幕信息被读取已对个人财产安全构成实质威胁。

新华社在7月报道的一起诈骗案件显示，无障碍权限的读屏功能成为了非法软件的诈骗后门。报道中，诈骗软件通过“屏幕共享”功能窥见事主手机上的所有操作，包括输入的银行卡账号、密码、验证码等，甚至能通过“远程控制”直接操控事主手机，最终完成转账。

当前，已有诈骗分子利用用户对AI功能的需求，诱导用户开放无障碍权限。

例如，2月DeepSeek爆火之际，湖州警方公布了一起案件，诈骗分子仿冒DeepSeek官方，以“应用程序需要更新”为由，诱导用户安装所谓“新版DeepSeek”，并在安装过程中骗取后台运行和无障碍服务权限。

部分AI应用在读屏时确实存在不加甄别地读取所有屏幕信息的问题。

此前，有社交媒体用户反映，在使用AI屏幕共享功能辅导孩子写作时，发现经AI润色后的作文中竟包含了其所在小区的名称。该用户排查后发现，是AI读取屏幕信息时未区分敏感程度，将群名称中的地址信息直接引用到了作文中。

IDC咨询分析指出，2025年AI Agent将迎来规模化落地浪潮，其通过智能化任务处理重构标准化作业流程的潜力备受期待。

市场研究机构Markets and Market预测，AI Agent市场规模将从2024年的51亿美元激增至2030年的471亿美元，年复合增长率高达44.8%。

随着市场持续扩大，安全问题已成为当前AI Agent用户无法回避的核心诉求。

对外经贸大学、中国人民大学、蚂蚁集团联合发布的《算法与AI大模型的用户认知调研报告（2024）》显示，超过半数的受访者曾遇到数据隐私和安全问题，60.09%的受访者担忧AI可能会不受控制地收集和处理个人信息。

“当前行业仍处于探索阶段，尚无完美解决方案，但我认为基于接口的方向无疑是更可持续的选择。”前述技术人员坦言。

如何拒绝被监视？

面对日益扩大的市场规模和逐渐显性化的风险，产业界与监管机构应当如何应对？

王磊认为，对于AI潜在风险，事前防范是当前最需要业界关注的焦点。

“厂商需要全面提升对用户隐私风险的防范意识。”前述技术人员提到，苹果在推出Apple Intelligence时，特别强调了隐私保护，甚至专门开发了“隐私云计算”系统。

当新服务准备推向市场时，可采用小范围灰度测试的方式，以验证功能是否足够合规与安全。“OpenAI和Anthropic的智能体若需使用截屏功能，也会将其限定在浏览器或沙盒环境中，而非一开始就大规模推广。”该技术人员补充道。

在王磊看来，具体而言，企业必须明确界定实现特定功能所必需采集的最小屏幕区域和数据范围。在技术上应实现动态、精准的数据收集，避免“全景敞视”式的过度采集。

其次，需建立针对屏幕数据采集的专项数据质量管理规范，明确在采集、传输、存储、处理等全环节中对数据完整性、准确性和安全性的具体要求。

“没有人比企业自身更了解功能是如何实现的，同时，企业也是AI Agent接触外部世界的第一道关口。因此，企业内部应当优先做好自查自纠。”王磊强调。

今年4月，中国软件行业协会发布了《移动互联网服务可访问性安全要求》，规定智能体只有在获得用户明确授权后，方可启用无障碍服务。

5月，中国信通院联合荣耀、OPPO、vivo、小米、华为、理想、快手等公司共同提出《关于共建终端智能体生态的倡议》，旨在开展打通终端智能体与第三方应用、智能硬件及其他智能体交互接口等工作。

然而，这些倡议和标准目前并非强制性约束，企业是否采纳仍拥有自主选择权。

“对于监管侧而言，AI产品的屏幕共享功能涉及海量个人信息和潜在商业秘密，对其监管牵涉网信、工信、公安、市场监管等多个部门，但各部门职能较为分散，容易出现监管盲区或重复监管。”王磊建议，监管方可采取敏捷性治理思路，例如发布专项合规指引以指导产业实践，快速响应技术迭代带来的新型潜在风险，在保障用户权益与促进技术创新之间寻求动态平衡。