中國軟件行業協會發布標準：禁止智能助手濫用無障礙服務

隨着AI大模型技術的發展，AI智能體涉及收集大量個人信息用於訓練、推理和決策，利用操作系統敏感權限自動化執行任務，也引發了一系列風險。

中國軟件行業協會日前正式發佈《移動互聯網服務可訪問性安全要求》團體標準，針對當前利用智能體等AI技術訪問移動互聯網服務引發的安全風險、用戶權益保護等問題作出規範。該標準自發布之日起生效。

手機AI智能體引發了三重安全風險

AI驅動的智能體應用能夠理解用戶意圖、自動執行任務，提升了移動互聯網服務可訪性。以“智能助手”爲代表的AI智能體正在快速應用，用戶通過自然語言指令即可操作第三方App、訪問互聯網服務，“一句話點2000杯奶茶”等AI自動化操作場景不斷演化。

在終端側，海外廠商蘋果、谷歌等先後推出以AI爲亮點的智能手機，以Siri爲代表的海外手機智能體仍在審慎升級功能。國內很多廠商亦運用大模型技術升級了原有的手機助手，還發展出AI識屏服務，即根據當前屏幕提供總結、翻譯、提取信息等。在應用側，國外大模型企業OpenAI基於GPT大模型推出智能體Operator，國內如智譜也推出手機智能體AutoGLM。

以智能助手、AI識屏爲代表的智能體提升了移動互聯網服務的可訪問性，爲用戶帶來了便捷的使用體驗。但不少“智能助手”依託AI大模型技術，藉助系統層級無障礙服務，以“讀屏+模擬點擊”的方式來實現各種自動化功能，引起了用戶數據泄露風險、隱私保護缺失以及系統安全等問題。

無障礙服務濫用風險

據多家媒體報道，有的手機智能助手需要用戶授權開啓無障礙服務，有的則默認爲用戶開啓以及無法關閉無障礙服務。

無障礙服務是一項高度敏感的權限，本意是用於服務殘障或其他需要特殊輔助的用戶。但由於其功能強大，此前多被黑灰產用於竊取用戶信息、轉移資金，如今年315晚會曝光竊取20億條個人信息的不法軟件即濫用了無障礙功能。

用戶開啓無障礙服務後，手機屏幕上的所有信息將暴露無遺，包括個人身份、聊天記錄、地址乃至密碼框內輸入的內容。再加上無障礙服務的事件監聽、自動點擊功能，同樣對資金安全造成威脅。

數據隱私保護缺失

當前智能助手高度依賴雲端大模型架構運行，模型的訓練過程需要採集海量用戶數據，這一過程中是否將用戶數據上傳雲端服務器、是否充分數據脫敏、是否將敏感數據用於模型訓練、數據存儲的地點、用途、保存時長以及能否刪除，用戶均無法確切獲知。

多元主體權責不明

智能助手涉及多元主體，在未經其他主體和用戶的同意的情況下開始運行的話，一方面難以保障用戶的合法權益，一旦發生數據泄漏或消費者糾紛，各主體間權責並不明晰；另一方面，智能助手利用無障礙服務或者系統底層權限優勢，侵害其他主體數據權益、干擾第三方App正常運行。

標準爲產業安全發展提供了四項原則

《移動互聯網服務可訪問性安全要求》團隊標準適用於所有訪問移動互聯網服務的技術和產品，以及提供相關技術、產品和服務的各類主體。標準的發佈，爲產業相關方開展移動互聯網服務可訪問性安全建設，提供了指導，明確瞭如下原則：

“禁止濫用無障礙服務”

應謹慎爲智能體等AI技術開通無障礙服務，開通無障礙服務必須經過用戶明確授權。爲用戶提供便捷的服務撤銷選項，允許用戶隨時查看、開通和關閉無障礙服務權限。

應在隱私政策中聲明無障礙權限的使用目的、使用場景和數據處理方式，僅在聲明的目的範圍內使用無障礙服務，不得將無障礙服務用於其他目的。

“保障用戶權益”

智能體進行用戶意圖識別、通過第三方App執行各類任務時，不得侵害用戶及其他主體的數據權益。

應向用戶明確告知收集的數據將如何處理，不得未經授權收集和處理數據，涉及向第三方共享數據、將用戶個人信息上傳雲端處理的需額外說明。

“雙重授權”

智能體等AI技術進行用戶意圖識別、通過第三方App自動執行任務，應遵循“雙重授權”原則，即先通過第三方App授權，並在獲得用戶授權後執行。

“禁止利用系統權限優勢，干擾第三方APP運行”

操作系統不得利用系統權限優勢，在第三方App授權前獲取第三方App數據、調用第三方App功能，干擾第三方App正常運行。

中國軟件行業協會是唯一代表中國軟件產業界並具有全國性一級社團法人資格的行業組織，是首批開展團體標準編制工作試點單位。此次，團體標準T/SIA050-2025《移動互聯網服務可訪問性安全要求》的發佈和實施，凝聚了學術界、產業界共識，代表了行業慣例與商業倫理，爲相關主體規範智能體等新技術應用、開展移動互聯網服務安全建設提供重要依據，將有效保障用戶等多元主體合法權益。

來源：中國日報網