開發(fā)者守住源頭、平臺(tái)嚴(yán)控流通、終端共同筑牢堡壘 。。

作 者 丨 宿藝

編 輯 丨 子淇

移動(dòng)互聯(lián)網(wǎng)時(shí)代，用戶在“便捷”與“安全”之間，需要一個(gè)盡可能大的“重疊區(qū)”。

根據(jù) QuestMobile 數(shù)據(jù)：截至 2025 年 5 月，移動(dòng)互聯(lián)網(wǎng)月活躍用戶規(guī)模提升至 12.62 億，同比增長(zhǎng)了 2.2%。更重要的是，全網(wǎng)月人均使用時(shí)長(zhǎng)同比增長(zhǎng)了 8%，達(dá)到了 178.9 小時(shí)。

人們對(duì) APP（包括小程序）的依賴不僅體現(xiàn)在時(shí)間上，還體現(xiàn)在全方位的依賴上，從衣食住行到辦公、娛樂，全部都在 APP 上實(shí)現(xiàn)。

海量的 APP，可以是方便當(dāng)代人暢游移動(dòng)互聯(lián)網(wǎng)的工具，可以是提高工作效率的生產(chǎn)力工具，但同時(shí)部分 APP 也正在成為“風(fēng)險(xiǎn)的載體”。一次不經(jīng)意的安裝，一次稀松平常的升級(jí)，一次簡(jiǎn)單權(quán)限許可，都有可能給安全留下“隱患”。

近日，工信部信通院發(fā)布《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）風(fēng)險(xiǎn)分類分級(jí)指南》（以下簡(jiǎn)稱《指南》），相當(dāng)于為行業(yè)畫了一張“風(fēng)險(xiǎn)導(dǎo)航圖”，給行業(yè)帶來三方面的積極影響：一是給出風(fēng)險(xiǎn)趨勢(shì)警示，二是給出安全治理標(biāo)尺，三是促進(jìn)行業(yè)共治。

硬幣兩面，風(fēng)險(xiǎn)與便利如影隨形

中國電信發(fā)布的《2024 年全國移動(dòng)應(yīng)用安全觀測(cè)報(bào)告》顯示，2024 年，全國Android 應(yīng)用總量達(dá) 476 萬款，iOS應(yīng)用 319 萬款，微信小程序和公眾號(hào)總量突破 988 萬。其中 76.2% 的 Android 應(yīng)用存在高危漏洞，更令人擔(dān)憂的是，下載量越小的應(yīng)用，高危漏洞比例反而更高（72%）。

用戶感受最多的就是隱私安全問題。當(dāng)打開一個(gè) APP 時(shí)，它往往會(huì)要求網(wǎng)絡(luò)授權(quán)、位置授權(quán)、攝像頭授權(quán)、麥克風(fēng)授權(quán)甚至是短信的讀取權(quán)限。不同意， APP 無法使用，一旦同意，就有可能出現(xiàn)個(gè)人信息被非法收集、濫用、泄露、篡改或不當(dāng)處理的潛在威脅，甚至引發(fā)財(cái)產(chǎn)損失或身份盜用等問題。此外，APP通訊錄授權(quán)，則很可能泄露個(gè)人社交圖譜，危害親友的個(gè)人信息，為營(yíng)銷騷擾、電詐提供便利。至于說攝像頭、麥克風(fēng)授權(quán)，則有可能讓 APP 化身“監(jiān)聽器”。

還有一類 APP 存在主動(dòng)性、針對(duì)性較強(qiáng)的惡意行為風(fēng)險(xiǎn)。用戶下載該 APP 時(shí)，手機(jī)里的資料在悄無聲息下被惡意應(yīng)用開發(fā)者輕松獲取，一旦用戶有不當(dāng)社交行為，或資料中有敏感的信息，都會(huì)被 APP 開發(fā)者當(dāng)作把柄，并加以勒索。有的則是最初下載的 APP 沒有問題，但是其開發(fā)者利用熱更新篡改軟件，繞開審核，對(duì)用戶實(shí)施惡意侵害。

針對(duì)財(cái)產(chǎn)的安全風(fēng)險(xiǎn)也是當(dāng)下的重災(zāi)區(qū)，除了最常見的自動(dòng)續(xù)費(fèi)、誘導(dǎo)扣費(fèi)，還有誘導(dǎo)消費(fèi)、虛假網(wǎng)賺、網(wǎng)絡(luò)賭博等風(fēng)險(xiǎn)。最近比較頻發(fā)的一類，是盜用國家機(jī)構(gòu)或知名企業(yè)名稱，利用高收益誘導(dǎo)用戶投資或充值，真是令人防不勝防。

針對(duì)安全風(fēng)險(xiǎn)，主管部門持續(xù)推動(dòng)依法治理、專項(xiàng)治理、科技治理、系統(tǒng)治理，并取得了一定的成果。根據(jù)官方公開數(shù)據(jù)整理，自 2019 年至 2025 年上半年，工信部關(guān)于侵害用戶權(quán)益行為的 APP（SDK）通報(bào)的數(shù)量達(dá) 3136 個(gè)，下架的數(shù)量為 646 個(gè)。

同時(shí)監(jiān)管部門也在實(shí)時(shí)發(fā)現(xiàn)問題 APP，從其 2025 年上半年通報(bào) APP 類型分布，問題主要出現(xiàn)在實(shí)用工具、網(wǎng)絡(luò)游戲、學(xué)習(xí)教育和本地生活等類型的 APP 和 SDK （軟件開發(fā)工具包）。同時(shí)，也涉及到了今年比較火爆的 AIGC 應(yīng)用。

雖然治理不斷，但硬幣的兩面依然與日俱增。

APP 數(shù)量增長(zhǎng)的同時(shí)，小程序、快應(yīng)用、H5 頁面、AI Agent 等新形態(tài)不斷涌現(xiàn)，用戶獲取服務(wù)更便捷，獲得的服務(wù)內(nèi)容也更豐富。

但同時(shí)惡意開發(fā)者利用“熱更新”“云控”等技術(shù)，繞開審查、逃避監(jiān)管，使得安全的風(fēng)險(xiǎn)防控難度大大提升。顯然，風(fēng)險(xiǎn)防控需要更高效的技術(shù)手段與行業(yè)共治。

有據(jù)可防：給行業(yè)一把“安全隱患標(biāo)尺”

隨著新的應(yīng)用形態(tài)、AI 技術(shù)的發(fā)展，安全隱患也在不斷“變異”，新情況頻發(fā)。有效治理的前提，不僅要深刻了解當(dāng)下的風(fēng)險(xiǎn)，還要根據(jù)行業(yè)發(fā)展趨勢(shì)對(duì)未來的可能性做出精準(zhǔn)的洞察。

《指南》認(rèn)為，違規(guī)行為正在呈現(xiàn)隱匿性、多變性、廣泛性的特征，引發(fā)一系列亟待解決的難題。

首先，新形態(tài)多樣化，追責(zé)難。

小程序、快應(yīng)用、Hybrid App 等，因?yàn)楦憬萜毡槭艿接脩粝矏?，發(fā)展迅猛。以小程序?yàn)槔脩魺o需下載可以“直通”服務(wù)，開發(fā)者的開發(fā)時(shí)間短、成本低。但小程序也更容易繞開應(yīng)用平臺(tái)和終端的審核，違法小程序有“空”可鉆。此外，小程序主要基于云端開發(fā)，服務(wù)內(nèi)容可實(shí)時(shí)更新，開發(fā)者僅需簡(jiǎn)單操作即可實(shí)現(xiàn)單個(gè)小程序的多平臺(tái)上線，極大地增加了問題審核和追溯的難度。

其次，技術(shù)被惡意使用，防范難。

技術(shù)是雙刃劍，在開發(fā)者手里就是為用戶創(chuàng)造價(jià)值，在惡人手中就變成了犯罪的武器。一些 APP 通常是利用常規(guī)服務(wù)欺騙應(yīng)用商店以達(dá)到正常上架的目的，在用戶下載后通過熱更新環(huán)節(jié)，以非法內(nèi)容替換原有服務(wù)，通過越權(quán)、漏洞利用等方式進(jìn)行安全攻擊，危害用戶財(cái)產(chǎn)和隱私安全，讓用戶防不勝防。近兩年這樣的案例越來越多。

第三，AI 加速前行，新問題屢現(xiàn)。

2024 年被稱為 AI 應(yīng)用落地年。AI 在全方位、深層次、多維度重塑移動(dòng)互聯(lián)網(wǎng)應(yīng)用的開發(fā)邏輯和服務(wù)模式的同時(shí)，也帶來多重新風(fēng)險(xiǎn)：比如數(shù)據(jù)來源不實(shí)，大量虛假新聞被制造，誤導(dǎo)性信息沖擊輿論場(chǎng)；再比如利用 AI 技術(shù)輕松可以實(shí)時(shí)換臉，或者偽造聲音、視頻，實(shí)施敲詐勒索。

AI 創(chuàng)新帶來的有技術(shù)問題，有模式問題，也有價(jià)值觀問題，風(fēng)險(xiǎn)種類多且復(fù)雜度高，需要更有前瞻性地制定治理方案。

根據(jù)當(dāng)前風(fēng)險(xiǎn)行為的特征不同，并結(jié)合當(dāng)前階段風(fēng)險(xiǎn) APP 治理的重點(diǎn)，《指南》把 APP 風(fēng)險(xiǎn)拆成 6 大類、4 個(gè)等級(jí)。

其中 6 大類包括隱私安全、惡意行為、服務(wù)異常、財(cái)產(chǎn)安全、內(nèi)容安全、未成年人安全，在二級(jí)目錄中給出更為具體的 45 項(xiàng)，并且列出了違規(guī)場(chǎng)景。一級(jí)類目按風(fēng)險(xiǎn)性質(zhì)劃分，二級(jí)類目聚焦行為特征，邏輯層次清晰，覆蓋全面且一目了然，增強(qiáng)了可操作性。

根據(jù)影響對(duì)象和損害程度將風(fēng)險(xiǎn)分為四級(jí)——低、中、高、極高。從損害對(duì)象的維度來看，國家安全>公共利益>系統(tǒng)安全>用戶權(quán)益。從損害程度，按波及范圍（少量/一定量/大量群體）和后果嚴(yán)重性分級(jí)。同時(shí)遵循就高原則，當(dāng)多重風(fēng)險(xiǎn)并存時(shí)，按最高風(fēng)險(xiǎn)定級(jí)。

《指南》還有一個(gè)特征，就是動(dòng)態(tài)適應(yīng)性。一方面，納入前沿風(fēng)險(xiǎn)，包括AIGC （如模型幻覺、數(shù)據(jù)濫用）、熱更新、云控、小程序責(zé)任模糊等新形態(tài)，適用性更強(qiáng)。二是開放調(diào)整機(jī)制，明確分類需隨政策、技術(shù)發(fā)展動(dòng)態(tài)更新，確?！吨改稀返呐c時(shí)俱進(jìn)。

這份《指南》的核心價(jià)值在于為移動(dòng)互聯(lián)網(wǎng)生態(tài)提供了一把隱患可量化、風(fēng)險(xiǎn)可分級(jí)、治理可對(duì)標(biāo)的“安全標(biāo)尺”。它終結(jié)了風(fēng)險(xiǎn)認(rèn)知的模糊地帶，統(tǒng)一度量衡、厘清邊界線，讓安全隱患變得有據(jù)可循（標(biāo)準(zhǔn)清晰）、有級(jí)可量（風(fēng)險(xiǎn)分級(jí)）、有標(biāo)可防（分級(jí)施策），為 APP 開發(fā)者、分發(fā)平臺(tái)、終端廠商乃至監(jiān)管機(jī)構(gòu)提供了共同的“風(fēng)險(xiǎn)語言”和行動(dòng)標(biāo)尺，極大提升了全鏈條風(fēng)險(xiǎn)識(shí)別、評(píng)估與協(xié)同治理的精準(zhǔn)性和效率。

行業(yè)共治：從“單點(diǎn)攔截”到“全鏈協(xié)同”

透過《指南》的分類，我們看到移動(dòng)互聯(lián)網(wǎng)風(fēng)險(xiǎn)的多樣性、復(fù)雜性、善變性，這已遠(yuǎn)超單一主體的防控能力。比如當(dāng)惡意開發(fā)者用“熱更新繞過審核”、以 AI 批量生成詐騙應(yīng)用出現(xiàn)時(shí)，碎片化的防御體系必然失效。只有從“單點(diǎn)攔截”向“全鏈協(xié)同”，構(gòu)筑起開發(fā)運(yùn)營(yíng)、應(yīng)用分發(fā)、終端運(yùn)行三道防線，通過分類分級(jí)厘清責(zé)任、分級(jí)響應(yīng)實(shí)現(xiàn)協(xié)同，才能真正為用戶的數(shù)字生活保駕護(hù)航。

開發(fā)者要做好合規(guī)設(shè)計(jì)的“源頭保障”

開發(fā)階段嵌入合規(guī)設(shè)計(jì)，如對(duì) AIGC 功能明示數(shù)據(jù)用途，禁用熱更新篡改代碼。同時(shí)，參照《指南》風(fēng)險(xiǎn)類目自查，比如金融類 APP 參照“財(cái)產(chǎn)安全風(fēng)險(xiǎn)”條目。

應(yīng)用分發(fā)平臺(tái)履行管理職責(zé)夯實(shí)安全根基

分發(fā)平臺(tái)加強(qiáng) APP 上架審核和在架巡查，可以基于分級(jí)結(jié)果采取差異化管控，比如對(duì)于高風(fēng)險(xiǎn)、極高風(fēng)險(xiǎn)堅(jiān)決“不予上架”；在上架審核中，要特別識(shí)別熱更新馬甲包、山寨 APP 等高風(fēng)險(xiǎn)形態(tài)；用 AI 模型掃描云控行為對(duì)“中風(fēng)險(xiǎn)” APP 限期整改；對(duì)多次違規(guī)開發(fā)者凍結(jié)賬戶，實(shí)施信用懲戒等等。

終端廠商為用戶建立“安全防線”

現(xiàn)在市場(chǎng)上幾大頭部手機(jī)廠商都將安全問題置于首位，建立了極其嚴(yán)格的風(fēng)險(xiǎn)防控體系。

比如 OPPO 已上線端云協(xié)同的 APP 風(fēng)險(xiǎn)檢測(cè)及預(yù)警能力，圍繞 APP 上架、下架、終端側(cè)下載、安裝、啟動(dòng)等全周期，進(jìn)行針對(duì)性管控。官方數(shù)據(jù)顯示，目前 OPPO 軟件商店日均攔截惡意資源下載達(dá) 260 萬次，安裝攔截 300 萬次，運(yùn)行攔截1500萬次。其他手機(jī)廠商也在用戶權(quán)益保護(hù)和風(fēng)險(xiǎn)治理方面持續(xù)發(fā)力，據(jù)了解 24 年 vivo 手機(jī) APP 總體負(fù)反饋率較同期下降了 37%，其中盜版侵權(quán)類負(fù)反饋下降 14%，惡意扣費(fèi)類負(fù)反饋下降 14%，功能兼容類負(fù)反饋下降 44%。

當(dāng)然，在這三重防護(hù)之外，用戶的個(gè)人防控意識(shí)與行動(dòng)也不可或缺。盡量在正規(guī)應(yīng)用商店下載、使用 APP，繞開來路不明的安裝包。當(dāng) APP 索要授權(quán)時(shí)，一定要仔細(xì)查看授權(quán)是否合理，不必要的不授權(quán)，能“僅這一次”就選擇一次，減少風(fēng)險(xiǎn)發(fā)生的幾率。

《指南》在給標(biāo)尺、給路徑的基礎(chǔ)上，還從戰(zhàn)略層面給出建議：行業(yè)共治。也就是說從個(gè)人用戶到開發(fā)者，從平臺(tái)到終端廠商，應(yīng)該建立起一套高效的協(xié)同機(jī)制，信息共享、能力互補(bǔ)、響應(yīng)聯(lián)動(dòng)。比如開發(fā)者公開 SDK 權(quán)限聲明，為終端廠商權(quán)限管控提供依據(jù)；平臺(tái)共享惡意樣本庫（如涉賭 APP 特征），賦能終端廠商預(yù)裝防護(hù)規(guī)則。

這其中值得一提的是安天移動(dòng)，在三個(gè)層面為行業(yè)輸出能力。第一層是憑借技術(shù)創(chuàng)新，2024 年全年累計(jì)告警應(yīng)用風(fēng)險(xiǎn) 33.6 億次，檢出風(fēng)險(xiǎn)應(yīng)用 3167 萬款，攔截病毒威脅 12.6 億次，防護(hù)用戶超 3.2 億。第二層積極推動(dòng)行業(yè)建立健全安全技術(shù)規(guī)范，牽頭編制了《App 生命周期安全管理指南》國家標(biāo)準(zhǔn)，把自己的經(jīng)驗(yàn)分享給行業(yè)。第三，相繼與榮耀等手機(jī)廠商伙伴通過聯(lián)合實(shí)驗(yàn)室、專項(xiàng)合作等方式深入共建風(fēng)險(xiǎn)協(xié)同治理能力，通過技術(shù)協(xié)同實(shí)現(xiàn) 1+1>2 的防范能力，給行業(yè)共治打了個(gè)樣兒。

《壹觀察》評(píng)論

從移動(dòng)互聯(lián)網(wǎng)到萬物互聯(lián)時(shí)代，用戶對(duì)不同場(chǎng)景下服務(wù)需求的連貫性與便捷性出現(xiàn)“躍遷式”提升，同時(shí)對(duì)信息安全與隱私保護(hù)也帶來了前所未有的巨大挑戰(zhàn)。這其實(shí)，也是工信部信通院發(fā)布聯(lián)合產(chǎn)業(yè)各方發(fā)布《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）風(fēng)險(xiǎn)分類分級(jí)指南》的重要原因。

中國是最大的移動(dòng)互聯(lián)網(wǎng)市場(chǎng)，也是全球移動(dòng)互聯(lián)和 AI 智能革新的“兩極”之一。唯有建立行業(yè)共識(shí)、共治、共生的安全體系，才是我們整個(gè)產(chǎn)業(yè)完成“新質(zhì)生產(chǎn)力”轉(zhuǎn)型升級(jí)的“最優(yōu)選”之一。而《指南》通過分類分級(jí)將模糊的“安全責(zé)任”轉(zhuǎn)化為可量化、可分割、可追溯的精準(zhǔn)責(zé)任矩陣：開發(fā)者守住源頭、平臺(tái)嚴(yán)控流通、終端筑牢堡壘。唯有如此，方能在移動(dòng)互聯(lián)網(wǎng)的“漏洞攻防戰(zhàn)”中構(gòu)建動(dòng)態(tài)免疫網(wǎng)絡(luò)與長(zhǎng)期健康發(fā)展。

「壹觀察」創(chuàng)始人宿藝

原搜狐科技通信主編

今日頭條、騰訊新聞、搜狐搜索「壹觀察」

百家號(hào)、微博、抖音搜索「宿藝」關(guān)注更多

丨智能硬件丨通信丨新零售丨人工智能丨

丨智聯(lián)網(wǎng)汽車丨智能家居丨