AI Agent时代：隐私安全与效率平衡的考验

2025年，被广泛认为是AI Agent的元年。从Manus的火爆，到各大终端厂商纷纷推出并迭代端侧AI助手，不难发现，业界已经深刻意识到这一领域的巨大潜力。

与以往的大语言模型相比，AI Agent的功能更加丰富。只需一句自然语言指令，手机就能自动完成外卖、发红包等过去需要多步点击的任务。大部分AI Agent能够代管手机，这得益于安卓系统里特殊的无障碍权限。这一权限原本是为了视障人士设计的，允许手机捕捉屏幕上的所有信息，并可以代替用户执行点击、滑动等操作。如今，厂商选择利用这一权限来实现AI功能。

然而，这份便利的背后隐藏着风险。在无障碍权限开放的背景下，AI应用几乎“无所不知，无所不能”，可能读取到包括支付密码、聊天记录在内的敏感信息，甚至随意点击。随着AI Agent技术的不断迭代，人类将越来越习惯于被这些硅基助手包围的日常生活。

因此，当前亟需了解AI Agent背后的运行机制，以及未来业界应如何走向，以求在“效率”和“安全”之间找到平衡。

AI Agent的“翻墙”困境

手机端侧大模型已成为AI时代下争夺新一代流量入口的关键。Counterpoint预测，2027年全球AI手机渗透率将达到约40%，出货量有望达5.22亿部。

2024年6月，美国苹果公司发布端侧大模型Apple Intelligence，将新Siri定位为手机智能助手。国产手机厂商也紧随其后，推出了小米MiLM、vivo蓝心大模型、OPPO安第斯、荣耀魔方等端侧大模型。就连AI厂商也开始涉足端侧业务，如OpenAI基于GPT大模型推出智能体Operator，智谱也推出手机智能体AutoGLM。

尽管参与者众多，但攻下这个“兵家必争之地”并非易事。从人操纵手机到AI操纵手机，核心问题是如何跨越App间的界限。

安全团队网络尖刀创始人曲子龙在接受《IT时报》记者采访时表示，为了防止数据互相读取，各种App之间通常会设置隔离系统，只有接入对应的API（应用程序编程接口）才能调用。因此，要想实现代替人来操作，AI Agent的第一步就是要学会“翻墙”。

“目前行业内主要存在两种技术路径。”一位在头部AI公司从事相关工作的技术人员向时代财经介绍，一种是接口模式，手机厂商和应用厂商达成协议，签订意图框架，通过互通接口来实现操作；另一种是非接口的纯视觉方案，直接调用手机的无障碍权限等系统级权限，无需第三方App允许即可实现操作。

对于厂商来说，选择技术路径需要权衡几个痛点：一是AI Agent的效果；二是开发AI功能对企业的效益；三是用户的数据安全及隐私问题。

该技术人员告诉时代财经，接口方案避免了直接扫描用户屏幕，足够安全。但它过于依赖生态，各厂商都有自己的标准，导致App开发者需要针对不同手机品牌分别做适配，开发成本很高。

调用无障碍权限也存在诸多问题：用户操作慢、准确率不高；同时由于需要实时获取屏幕信息，涉及较多隐私，存在一定的安全风险。“但最大的特点是开发快、通用性强、不受APP限制。”

尽管存在这些问题和风险，但大多数端侧AI工具的厂商仍然选择使用无障碍权限这一现存的功能模块来实现AI Agent的功能。

“用户跨APP的数据使用需要得到双重授权。但无障碍权限一旦被开放就跨过了第三方APP授权的环节。”该技术人员向时代财经表示这样用户数据如果被滥用很可能将无法追责。

中国社会科学院法学研究所副研究员唐林垚提到实践中端侧大模型部署环境下存在隐私保护的三大缺陷：知情同意流于形式、多方主体责任划分不清以及用户权利难以实现。

今年关于无障碍权限与智能体应用如何结合在行业层面已经推出多项规则但这些规则并非强制企业采纳与否凭自愿。

权限滥用或成黑灰产温床

开放权限原本是一件非常审慎的事情。

但随着应用形态越来越多变功能实现的路径越发复杂用户对自己的个人信息交付更加无感。

北京理工大学智能科技法律研究中心王磊研究员认为尽管有的软件已设置弹窗提示但在实际使用中相关提示常被用户忽视或默认接受导致合规保障机制作用有限。“目前有部分AI应用运行中对于相关权利人是否知情和授权没有互动授权机制。”王磊表示。

而屏幕信息被读取已经对个人财产安全带来极大损失。

新华社在7月报道的一起诈骗案件中显示无障碍权限读屏成非法软件诈骗后门。在报道中诈骗软件通过“屏幕共享”功能看到事主在手机上的所有操作甚至看到事主输入的银行卡账号、密码、验证码等通过“远程控制”甚至能够直接操控事主的手机最终完成转账诈骗。

目前已经有诈骗犯利用用户对AI功能的需求要求用户向其开放无障碍权限。

2月DeepSeek刚刚爆火时湖州警方就公布了一起诱导用户授权无障碍服务权限行骗的案件诈骗分子仿冒DeepSeek官方提示用户“需要应用程序更新”并在安装所谓“新版DeepSeek”的过程中诱导用户授予其后台运行和使用无障碍服务的权限。

部分AI应用在读屏的时候的确会不加分辨地读取所有屏幕上的信息。

此前某社交媒体就有用户表示在使用AI屏幕共享功能辅导孩子写作时发现经AI润色的作文中竟包含其所在小区的信息。该名用户表示经排查发现是AI读取屏幕信息后并未区分信息的敏感程度而是全盘读取进而将其群名称中的信息直接引用到了作文中。

IDC咨询分析称2025年AI Agent将迎来规模化落地浪潮其通过智能化任务处理重构标准化作业流程的潜力备受期待。

市场研究机构Markets and Market预测AI Agent市场规模将从2024年的51亿美元飙升到2030年的471亿美元复合年增长率高达44.8%。

随着市场不断扩大安全已经成为当前AI Agent用户无法忽视的诉求。

对外经贸大学、中国人民大学、蚂蚁集团联合发布的《算法与AI大模型的用户认知调研报告（2024）》显示超半数的受访者遇到了数据隐私和安全问题60.09%的受访者认为AI可能会不受控制地收集和处理个人信息。

“现在行业还在摸索阶段没有完美方案但我认为接口方向无疑是更可持续的选择。”前述技术人员坦言。

如何拒绝被监视？

面对逐渐扩大的市场和逐渐显形的风险业界和监管侧应该怎么做？

王磊认为对于AI风险事前防范是目前最需要业界关注的焦点。

“厂商需要提高对用户隐私风险的防范意识。”前述技术人员向时代财经提到苹果推出Apple Intelligence时特别强调了隐私保护甚至专门开发了“隐私云计算系统”。

当服务要推向市场时也可以先采取小范围的测试以保证功能足够合规、安全。“OpenAI和Anthropic的智能体如果要用截屏功能也会限定在浏览器或沙盒环境中不会一开始就大规模推广。”前述技术人员介绍。

王磊认为具体而言企业必须明确界定实现特定功能所必需采集的最小屏幕区域和数据范围。在技术上实现动态、精准的数据收集避免“全景敞视”式的过度采集。

其次需建立针对屏幕数据采集的专项数据质量管理规范明确在采集、传输、存储、处理等环节对数据完整性、准确性和安全性的具体要求。

“没有人比企业更了解功能是如何实现的同时企业也是AI Agent接触外界的第一个环节。因此企业内部应该优先做好自查。”王磊表示。

今年4月中国软件行业协会发布《移动互联网服务可访问性安全要求》要求智能体只有在获得用户明确授权后方可启用无障碍服务。

5月中国信通院联合荣耀、OPPO、vivo、小米、华为、理想、快手等公司提出《关于共建终端智能体生态的倡议》开展打通终端智能体与第三方应用、智能硬件其他智能体交互接口等工作。

不过这些并非强制性约束是否采用相关标准的选择权在企业。

“对于监管侧AI产品屏幕共享涉及海量个人信息和潜在商业秘密对其监管涉及网信、工信、公安、市场监管等多个部门但各类主体职能较为分散容易出现监管盲区和重复监管的情况。”王磊建议监管侧可采取敏捷性治理思路如发布专项合规指引指导产业实践快速响应技术迭代带来的潜在新型风险在保障用户权益与促进创新间寻求动态平衡。”