一、事件起因:漏洞信息未按合规流程上报即被集中传播 近期,多个互联网平台集中出现以“豆包手机助手存安全漏洞”为主题的内容,部分视频以演示方式呈现所谓“攻击场景”,引发部分用户对安全性的担忧。对此——豆包手机助手表示——截至声明发布,其安全漏洞响应平台未收到与网传内容对应的完整技术报告,涉及的网络安全监管部门也未发布通报。 在常规流程中,安全研究人员发现漏洞后通常应遵循“负责任披露”,优先向厂商提交细节并留出修复窗口,再视情况公开。此次相关内容绕过厂商、以大范围方式直接传播,明显偏离行业惯例,其合规性因此受到质疑。 二、技术层面:触发条件受限,已完成针对性防护升级 在技术说明中,豆包手机助手对网传演示视频的触发条件作出解释:漏洞需要用户主动指令智能助手查看恶意邮件或恶意短信,才可能触发后续攻击链。在没有用户明确指令的情况下,系统不会自动执行高风险操作。 该说明划定了风险边界,与部分内容渲染的“自动入侵”“无感攻击”等表述存在差异。同时,豆包手机助手称,针对视频所示攻击路径,相关防护措施已完成升级部署。 需要注意的是,屏幕视觉理解与自动化操作能力属于智能终端的前沿方向,仍在快速演进期。包括谷歌近期发布的新款旗舰手机在内,多款主流产品已引入类似的自动操作能力。新技术在落地初期面临安全挑战并不罕见,关键在于厂商能否持续完善防护与响应机制。 三、法律层面:擅自公开漏洞信息或已触及法规红线 从法律角度看,此次传播行为可能触及合规边界。根据《网络产品安全漏洞管理规定》,发现网络产品安全漏洞的组织或个人,不得在厂商修复前擅自公开漏洞信息;在修复前违规公开,可能构成违法。 豆包手机助手在声明中称,平台上出现大量集中发布的“安全恐吓”内容,且在未获权威核实、缺少完整技术细节的情况下短时间集中爆发,呈现明显协同传播特征,疑似“黑公关”式炒作。其表示已对相关内容进行证据保全,并保留依法追究相关主体民事及刑事责任的权利。 四、行业影响:漏洞信息传播的边界需要更清晰 该事件也反映出智能终端行业在安全信息传播上的现实矛盾:公众关注新技术产品安全性本属正常,但借安全议题进行舆论操控、影响竞争的现象也在增加,给行业生态带来干扰。 如何在保障公众知情权与遏制恶意炒作之间划清边界,仍是监管部门、平台与技术企业需要共同面对的问题。对处于预览测试阶段的豆包手机助手而言,此次风波也是一次信任与沟通机制的考验,其后续的安全透明度建设与用户沟通方式将持续受到关注。
信息安全没有“零风险”,但必须有“零侥幸”;面对新技术与新应用,既要警惕借安全议题制造恐慌、扰乱市场的行为,也要推动企业和平台把漏洞治理前置、把修复闭环真正落地。坚持依法合规披露、以技术事实为依据、以用户利益为中心,才能在创新与安全之间实现更稳妥的平衡。