AI智能体赛道方兴未艾之际，近期发布的多份团体标准警惕称，部分智能体存在滥用手机系统底层敏感权限的嫌疑，智能体开发运营商需应对背后的数据安全和隐私保护隐患。

文|杨柳

AI接管屏幕引担忧

综合多位业内人士的分析，基于API接口的智能体，操作上更流畅。但不少第三方App并不愿开放API接口，担心交换共享数据会带来数据安全隐患。

和技术层面的短板相比，视觉方案更具争议之处在于其隐私风险：智能体调用的无障碍权限，是安卓手机系统内一项非常敏感的权限。一位互联网合规人士称，无障碍权限开启后，可以读取屏幕文本内容，监视和记录用户的所有操作，其中有可能包括用户输入的敏感信息。因此，安卓官网规定，无障碍权限必须由用户在设备设置中明确打开后才能启动。（详见：当AI接管你的手机屏幕，如何规避“黑镜”式预言？）

一位接近监管侧的人士透露，工信部门已表示要严格管控手机的无障碍权限使用。

团体标准划红线

6月13日，广东省标准化协会发布团体标准《智能体任务执行安全要求》（下称《智能体安全要求》），为智能体开发和运营主体提供了明确的行为准则。团体标准不具有普遍性的强制约束力，由本团体成员约定采用或者按照本团体的规定供社会自愿采用。

《智能体任务执行安全要求》封面页。

《智能体安全要求》明确，智能体不得利用无障碍权限或操作系统技术优势操作第三方App，必须通过API接口调用的方式协作。此外，智能体调用第三方App执行任务时，应先通过第三方App授权，并同时获得用户授权后才能执行，即所谓的“双重授权”。

此外，《智能体安全要求》还指出，智能体的任务决策算法应公平、公正、透明，不应利用技术优势干扰用户选择第三方App完成任务。

上述这份团体标准由北京邮电大学、中国联合通信集团股份有限公司、天翼安全科技有限公司、联想（北京）有限公司、北京数牍科技有限公司、广州虎牙科技有限公司、广东省标准化协会起草。

此前4月3日，中国软件行业协会也就智能体安全隐患，发布了团体标准《移动互联网服务可访问性安全要求》（下称《移动互联网安全要求》）。上述北京邮电大学、中国联合通信集团股份有限公司、天翼安全科技有限公司三家单位同样参与了《移动互联网安全要求》的起草。

《移动互联网安全要求》的内容大体上与《智能体安全要求》相近，但一项明显区别在于：与《智能体安全要求》禁止智能体利用无障碍权限操作第三方App的立场不同，《移动互联网安全要求》采取了有条件允许的态度——智能体在获得用户明确授权的前提下，启动无障碍权限。

但这种允许有严格限制。《移动互联网安全要求》提到，智能体厂商应引导用户在开通无障碍服务权限前，仔细阅读权限说明和隐私政策，确保用户在完全理解的前提下自主授权开通无障碍服务权限。而且，智能体厂商仅在声明的目的范围内使用无障碍服务，不得将无障碍服务用于其他目的。