起底AI滥用手机权限：隐形操控用户，替你点外卖，也能花光你的钱？

来源：时代周报

如同商业咨询专家刘润所感慨：“人类终于懒到，连外卖都不想自己点了。” 当AI手机扎堆登场，隐私与安全的“潘多拉魔盒”或许正在悄然打开。

2025年，AI代理权限成为科技巨头争夺流量的下一代超级入口。众多主流手机厂商密集上线AI智能体，大模型平台也推出“可代操作”的AI手机助手。AI手机助手便捷到，只需一句话，就能跨App完成读屏、模拟点击、比价下单，甚至自动总结内容。

时代周报记者实测发现，对某安卓手机自带的AI助手说“帮我点杯咖啡”，在手机中装有多款外卖软件的情况下，AI助手并未获明确授权、未询问偏好，就自动打开其中一款外卖App，搜索并展示出附近咖啡门店。这意味着，用户可能在追求效率和对AI形成路径依赖的过程中，不知不觉地放弃对其他App的选择。

更值得警惕的是，AI助手能绕过微信、淘宝等App的“沙箱隔离机制”（一种将App与主系统隔离的执行环境，旨在防止恶意行为或意外错误对整体系统造成影响的安全机制），读取聊天记录、验证码、银行卡信息等敏感内容，隐私安全与支付风险随之而来。

山东纳源律师事务所田军伟律师此前接触过上百起免密支付盗刷案件。其中一名用户在凌晨2:50到凌晨5:51，总共被盗刷162笔，总金额达到了80868元。田军伟告诉时代周报记者，AI时代的支付安全风险叠加传统漏洞，用户与平台的权责边界也变得更加模糊。

“在没有AI的智能手机时代，无论是安卓系统还是苹果系统，免密支付盗刷案件就已经层出不穷。用户在某购物平台开通了免密支付后，一旦购物平台账号被盗，不法分子就能通过该账号调用事先绑定的支付宝或微信免密支付完成付款，而过往这类案件中，由于第三方支付公司在开通免密支付的授权协议中设置了免责条款，第三方支付公司的责任很难被追究。”田军伟说道。

因此，更值得警惕的是，当用户把操作手机的权限开放给AI助手，真正掌控手机的人还是用户自己吗？

AI权限滥用衍生多重风险

“无障碍权限的初衷是辅助残障人士（如视觉障碍者的读屏功能）与老年人（如防误触功能），现随技术迭代升级为AI代理的全局控制工具，可实现跨App读取、操作。”汉华飞天信安科技有限公司总经理彭根对时代周报记者介绍道。

2009年，无障碍权限随安卓1.6诞生，初期仅能单向读屏；2011年，安卓4.0升级后，支持模拟点击、精准识别界面元素，为AI助手实现代理操控埋下伏笔。

原本，微信只能读取自己的聊天记录，淘宝只能访问自己的收货地址。如今，AI助手能突破沙箱隔离机制，通过无障碍权限，读取屏幕如“支付按钮”“验证码区域”信息，再模拟人类操作完成点击、复制、粘贴、记录等操作，类似“上帝视角”。

AI权限滥用会衍生出两大核心风险。

首先是支付安全隐患。彭根举例道，目前，灰产团队利用无障碍权限可开发“自动抢单”“验证码盗取”工具。例如，短信验证码到达的数百毫秒内，AI能优先读取并完成登录、转账操作，而用户可能尚未看到短信内容。这种权限授权方式的模糊性，弱化了用户的操作主体地位，也为灰产提供了可乘之机。

彭根强调，与传统脚本需要程序员编写代码不同，AI智能体无需代码即可自主规划任务、执行操作，甚至能在夜间自动运行，实现从“人手操作”到“自动化操作”的本质转变。

中国互联网络信息中心（CNNIC）7月21日发布的《中国互联网络发展状况统计报告》显示，中国手机网民规模已超11亿人。在庞大的网民体量下，截至目前，黑猫投诉【下载黑猫投诉客户端】平台已有超5.5万条投诉涉及免密支付。这些投诉包括“不明情况下”被开通“免密支付”、开通后乱扣费等问题，场景集中在电商平台、会员开通以及二手平台等，用户有不少涉及老人和孩子。

田军伟律师表示，AI工具可能会通过隐私条款或弹窗提醒，产生录屏、截屏等行为，但这仍可能伴随支付密码等个人隐私泄露的风险。

AI权限滥用面临的第二层风险是个人隐私泄露。AI代理的风险具有系统性和隐蔽性：采集环节可能涵盖社交私密对话、购物记录、金融资产等信息。

“更关键的是，一旦用户事先知情并自主授权AI操作调用其他支付工具，后续若发生盗刷等支付风险，用户对第三方支付公司的追责会比以往更难。”田军伟律师强调道。

当AI代理“一步到位”，用户被“隐形操控”？

当前，AI使用过程中涉及的因素、场景、权限等级多样，也让治理变得更为复杂。

以Perplexity与亚马逊的诉讼为例：Perplexity的AI代理伪装用户访问亚马逊Prime账号，因此被诉“破坏商业模式”。该案件核心争议是“AI替代用户选择”，而AI的“选择”并非随机，而可能伴随手机厂商与第三方App的合作。亚马逊认为，AI跳过广告、推荐环节，导致广告收入流失且存在数据泄露风险；Perplexity则辩称，AI是“代用户执行指令”，有权享受人类用户同等访问权。

这种“隐形操控”在实测中普遍存在。此前媒体联合测评显示，某手机“一圈即问”功能调用无障碍权限时，未要求用户单独授权；另一家手机的通话助手上传通话内容至云端，却未在隐私政策中说明。简单而言，在操作手机的过程中，用户很难清楚地知道AI如何做出选择，这与用户对话AI大模型时可以看到AI的思考分析过程完全不同。

不过，田军伟对时代周报记者表示，部分AI大模型工具已在隐私政策中明确提醒，为响应用户需求，可能会进行录屏、截屏、录音或打开摄像头等操作。整体而言，在目前无法明确风险何时发生、如何发生、权责划分的前提下，AI工具核心在于是否真正保证了消费者在使用AI时对“可能产生的授权”的充分知情同意。AI工具必须确保用户明确想要授权AI执行某项操作，而非在“不自知”的情况下任由AI选择。

田军伟强调，AI技术发展是必然趋势，但不能以牺牲用户的知情权为代价，“真正的授权应该是用户清楚知道自己在允许什么，而不是在一堆复杂文本里被动勾选同意”。

据《个人信息保护法》，“处理个人信息应当具有明确、合理的目的，采取对个人权益影响最小的方式，应当限于实现处理目的的最小范围，不得过度收集个人信息”。

针对用户的知情权，北京理工大学教授王磊认为，AI代理通过“一步到位”的便利，让用户逐渐放弃对权限的审视。AI时代下，最小必要原则正面临挑战，但当前AI代理侵权链条长，责任归属难以量化证明。

如何给AI装“刹车”，保护个人“隐私地带”？

当AI拥有操作系统级权限，AI的自主性操作可能会涉足用户手机中最隐私的地带。手机备忘录的密码、通讯录里的人脉圈、微信里的隐秘对话，都可能暴露在AI调用之下。当AI自主决策、跨App操作时，传统的用户责任、平台责任划分已不适用，如何构建新的治理规则，成为当务之急。

有学者对时代周报记者表示，当前 AI 代理不仅已是工具，更是新的行为主体，应将AI代理视为独立行为主体进行治理。

因此，核心争议集中在授权与责任两大领域。当AI智能体（AI助手）基于用户授权跨App获取数据时，是否需要第三方App和用户的双重同意，目前仍存在争议。

目前，广东标准和中国软件行业协会早期标准均要求智能体获得用户和第三方App的双重授权，广东省标准化协会更是明确禁止智能体利用无障碍权限操作第三方App，而中国软件行业协会最新标准则转而强调“用户可控”。

事实上，从权责划分的角度来看，AI 助手的调用不能简单地划分为需要用户或第三方 App的单独同意”。

中国政法大学民商经济法学院讲师高郦梅建议，对AI代理提供者采用“过错推定原则”，若发生隐私泄露、财产损失，提供者需举证已履行注意义务（如行为可追溯、风险提示），否则需承担责任；而用户仅对“故意诱导AI侵权，例如主动提供银行卡密码等行为”需承担责任。这既保护了用户，也避免抑制创新。

从技术层面来看，有专家认为，应给AI代理建立独立身份和专属数据通路，类似于为AI办身份证，它的每一步操作都能被记录、追溯，便于责任追溯。

目前，淘宝、微信、中国农业银行、中国建设银行的多家App已开始采取防护措施，比如在用户操作时弹出验证码，随时确认操作者是真人而非AI。在用户使用AI助手调用银行App时，页面会提醒检测到“正在录屏或屏幕共享”，需要关闭手机录屏或“AI操作手机”功能，或退出App后重新手动操作。

对于用户的个人财产防护，田军伟的建议是：“尽量不开通免密支付，若确有需要，务必设置支付上限；涉及支付相关的AI功能，建议尽量不要使用。AI操作的自动化特性会让风险发生得更快，许多省略的人工确认环节让不可控性大幅提升。”

此外，田军伟认为，“第三方App的防护不仅是在保护用户隐私，也是在维护平台自身利益。例如，AI调用App也可能涉及不正当竞争。例如，AI操作会自动跳过广告，直接影响平台的广告收入；且其模拟人工下单、比价的过程并不透明，还可能被平台判定为非法获取经营信息。所以，App与AI助手之间的攻防对抗是必然会发生的。

有业内人士对时代周报记者表示，AI时代的数据处理呈现非结构化、实时化、去中心化、合成数据增多等特点。未来，治理需关注数据跨域获取的属性问题。