蓝鲸新闻12月6日讯（记者 严沁雯）AI（人工智能）介入金融场景的安全问题再受“审视”。

在搭载豆包手机助手技术预览版的工程样机nubia M153发售后的第五天（12月5日），豆包手机助手官方微信公众号发布《关于调整AI操作手机能力的说明》（下称“《说明》”）称，将调整AI操作手机能力，进一步限制包括刷分、刷激励的使用场景，金融类应用的使用，以及部分游戏类使用场景。

根据《说明》，“银行、互联网支付等金融场景，直接关联用户的资金安全，虽然手机助手在敏感操作时都需要用户授权，但审慎起见，豆包手机助手也将暂时下线操作这类App的能力。我们也会积极与相关厂商沟通，希望共同制定清晰、安全的AI操作行为准则。”

在此之前，“AI操作手机”已引发不小讨论。先是“遭微信风控”一度发酵，后有多个用户反映，在使用部分银行App时，亦会被弹窗提醒检测到屏幕共享或AI操作软件。

“豆包手机助手操作系统的高级权限使其能模拟用户的触摸、点击等动作，跨应用完成复杂任务，对银行这类金融机构而言风险较高。”一名金融机构IT从业人士表示，当前手机银行App尚未完成对 Agent（代理）的安全适配，通过操作系统权限屏幕监控、模拟触屏的行为肯定是不被允许的。

银行数据在“裸奔”？操作权限让渡AI引争议

豆包手机助手是豆包和手机厂商在操作系统层面合作的手机AI助手。《豆包手机助手发布技术预览版》中提到，“基于豆包大模型的能力和手机厂商的授权，豆包手机助手能够为用户带来更方便的交互和更丰富的体验。”

便捷的体验基于高级别的权限：工程样机“应用权限申请与使用情况说明”中标注了INJECT_EVENTS（注入权限/注入事件）权限。据悉，在Android的权限定义中，这一保护级别属于操作系统高危权限，即允许应用模拟用户查看屏幕及点击操作，完成复杂跨应用任务。

“本质上调用的是手机操作系统底层的无障碍权限，这原本是帮助残疾人的能力，相当于外挂。”一位技术从业人士解释道，“而 INJECT_EVENTS 是比无障碍更底层的安卓系统级权限。”

这引发大众对于自身数据隐私安全的担忧。记者在一名用户发布于社交平台的测评视频中看到，对工程样机说出“查看某股份行余额”的需求后，手机界面上便直接显示了该用户手机银行中账户余额的详情，期间并无该用户的介入。

而按照在普通手机上的经验，在未登录手机银行的状态下，查看银行余额需要本人进行诸如人脸识别或密码等核验。

“豆包（手机助手）是操作系统的高级权限直接模拟人操作手机，相当于开透视，手机上的数据一览无余。”一名银行基础软件系统架构师直言。“能直接给出银行卡余额，说明用户的个人数据已经收集到服务端，并且被模型记录了。”

以上显然与相关规定不符。根据中国人民银行于2020年发布的《个人金融信息保护技术规范》，不应委托或授权无金融业相关资质的机构收集 C3、C2 类别信息。直接反映个人金融信息主体金融状况的信息，如个人财产信息（包括网络支付账号余额）、借贷信息为C2 类别信息；银行卡密码、账户（包括但不限于支付账号、证券账户、保险账户）登录密码、交易密码、查询密码，用于用户鉴别的个人生物识别信息等则为C3类别信息。

不过，根据豆包手机助手在微信公众号对用户隐私作出的回应，“手机助手不会在云端存储任何用户屏幕内容。当用户给助手指令，要求操作手机时，助手确实需要读取屏幕，否则无法完成用户任务，但屏幕和操作过程都不会在服务器端留下存储，且所有的相关内容也都不会进入模型训练，确保用户隐私安全。”

下线金融类APP操作能力，银行卡余额已不可查

AI直接操作系统引发数据安全争议，部分银行App直接进行了弹窗提醒并限制用户登录。

根据用户提供的截图，某国有大行提示称，系统检测到用户正在使用屏幕共享，为了保障个人信息及资金安全，请退出录屏获共享软件“AI操作手机”后再使用手机银行服务。

以上是否意味着银行风控更好？

“弹窗这个功能和各家银行风控没有关系，银行App安全校验机制往往比较严格，当AI想要查看手机银行，为防止泄漏数据，就会触发安全预警。”一名金融科技行业资深从业者称，部分银行App没有进行弹窗提示，不意味着风控能力低。

上述人士进一步指出，当前安全技术不成熟，同时由于数据实际生产场景复杂，数据安全管控很难实现。所以银行对于AI Agent 介入手机银行较为谨慎。“在风控层面，银行App较难区分是智能体在调用，还是木马等风险在调用，被抓取的数据失控了。”

据豆包手机助手，其不会代替用户进行相关授权和敏感操作。“在使用该权限时，我们建立了透明的管理体系。豆包手机助手在执行长任务时会在屏幕有明确提示，且用户可以随时中断，全程可控。操作第三方App若遇到敏感授权，如系统敏感权限授权弹窗、支付环节、身份验证等，任务会暂停，并由用户人工接管完成相关授权、支付、验证动作，豆包手机助手不会代替用户进行相关授权和敏感操作。”

一名购买了工程样机的用户告诉蓝鲸新闻，在其使用过程中，涉及输入密码、登录等操作均需要用户手动操作。同时他提到：“屏幕记忆默认会对银行存款等信息进行屏蔽，不会获取、记录这方面信息。”

根据该用户展示的截图，在“记忆屏蔽规则”下，显示“不再生成相关屏幕记忆和个人信息”，其中默认屏蔽内容包括“账号密码”“银行账户存款”“薪资收入、五险一金”。

值得一提的是，上述用户于12月5日晚间对工程样机下达“查询银行卡余额”指令，被提示“不支持该操作”。而在此之前，豆包手机助手发布《说明》宣布暂时下线操作金融类App能力。

深入手机操作系统底层之后，AI边界问题何解？

事实上，“让渡操作权”引发的争议，指向的是AI的边界问题。

前文提到， INJECT_EVENTS权限比无障碍更底层，在直接控制手机进行操作过程中，很难不担心用户数据的隐私安全。此前媒体曝光的黑灰产“大数据获客软件”，便通过“无障碍”权限窃取了上亿条个人信息。

一名金融机构IT从业人员称，大模型数据交互会保留在本地（手机日志或数据库），也会上传数据到大模型服务端做大模型强化学习和知识库采集，使得不法分子可以通过手机日志采集方式获取比以前更多的灰产数据。

与此同时，跨多个应用的操作会形成数据流动，各方在用户隐私保护和数据安全上的责任关系难以区分。

“风险很大。在操作过程中，‘双重授权’还是很有必要，最起码要得到App平台厂商的授权，因为很多个人用户可能比较难分辨授权的危险和边界。”一名金融云行业人士指出，现在各App更能接受的是通过MCP（Model Context Protocol）协议对接的形式，也就是拿到App的授权，通过接口对接。

另一名从事银行科技支持的人士有类似看法，“未来银行App一定会完成私有化大模型Agent并构建大模型安全防护体系，豆包可通过MCP协议调用银行App的Agent智能体实现任务操作。”

值得一提的是，当 AI 代理能绕过平台生态，被视作两种产业的权利博弈。例如今年11月初，Amazon 在美国加州北区联邦法院正式起诉 Perplexity AI，指控其旗下的 Comet 代理未经授权在 Amazon 平台执行浏览和购物行为。

“假如你是一名银行的高价值客户，通过你用手机访问银行app的频率、查看和购买理财的行为，就可以分析你的倾向，这些 AI 都可以通过你下达指令去搜集。这对一些流量平台的商业逻辑会带来冲击；而银行等金融类应用涉及更多高敏感的个人信息，风险会更高。”一位业内人士指出。

那么对于AI“操控”手机，普通用户的数据隐私安全如何保护？是否有相关监管政策？据悉，业内已发布多个安全指引或团体标准。

例如近日，中国信通院牵头在“人工智能+”产业生态大会上发布了《端云协同 智能体交互双重授权安全指引》。其中提到，智能体访问第三方应用前，必须遵循双重授权原则；访问前需满足透明化要求，以可识别、可验证的方式主动声明自身“智能体”身份，且需符合第三方应用的接口规范或接入管理要求，严禁伪装成自然人用户实施访问。

此前的4月3日，中国软件行业协会也发布了团体标准《移动互联网服务可访问性安全要求》，其中明确，应谨慎为智能体等AI技术开通无障碍服务，开通无障碍服务必须经过用户明确授权。

“我觉得安全不安全是相对的，普通手机也无法避免信息泄漏。就使用感受而言它获取信息越多，意味着这个‘秘书’更懂我，我的生活就越便利。当然这一切都建立在官方保证不获取敏感信息并储存在云端的基础上。”一名工程样机用户告诉蓝鲸新闻。

“数据隐私安全保护涉及多方面，包括App厂商、智能体厂商以及用户自身。就监管而言，AI能力迭代太快，政策确实无法跟得那么快。此外，对于便捷和安全之间的平衡，也是需要认真考虑的。”上述行业人士称。