□蔣璟璟
2月27日,豆包手機助手發布關于惡意炒作“豆包手機助手漏洞”黑公關行為的嚴正聲明。聲明中提到,截至目前,并未收到豆包手機助手漏洞的詳細報告,也未接到網絡安全相關監管部門的通報。相關作者在未向廠商報告漏洞信息的情況下,惡意傳播并夸大漏洞風險。根據國家《網絡產品安全漏洞管理規定》,違規公開漏洞已涉嫌違法。(光明網)
這份聲明說得坦誠,“任何系統都會存在漏洞,重要的是負責任地披露和修復漏洞。”而回顧以往案例,我們其實還可以有另一個大致的判斷,那就是“越是復雜的系統,就越是難杜絕漏洞”。無論是早期的PC端Windows系統,還是智能手機時代ios、安卓系統,都是這樣。至于說,各個大系統下的子系統與生態應用,亦是如此。正是基于這一事實,才有個各種“補丁”“迭代”“更新推送”,并在這個進程中,系統最終臻于完善。
而到了AI時代,即便研發環節有了新編程工具和新安全檢驗工具的助力,想必也沒有哪個新系統敢打包票說自己天生就無懈可擊。該如何理解系統的漏洞?首先要看“性質”和“觸發條件”。最近一些博主、網友所演示的所謂的豆包手機助手漏洞,更多是源于系統執行了用戶特定的“反常指令”,比如說“要求AI查看惡意郵件或惡意短信”——對此,可以說是很小概率才會發生的潛在風險。人們看到新短信或新郵件通知通常會直接點開,而不是調用AI去查看再轉告自己。而這,并非一般意義上的“安全漏洞”。
系統的漏洞,可以分為底層的邏輯缺陷、主體的結構缺陷,這屬于“天生殘疾”;還有一種,則是特定場景、特定條件下極小概率的耦合,我們常說的小bug,大體屬于這類。誠然,bug很討厭,經常都是奇奇怪怪,這邊冒一下、那邊冒一下。但通常而言,這類bug對真實用戶的影響有限。對于一些手機助手的小bug,網絡平臺上出現大批量的安全恐嚇內容,就屬于博人眼球、制造恐慌了。
其實,從PC端時代,直至如今AI時代,負責任的廠商基本都是“開門納諫”的,都會重金懸賞漏洞報告者。只是需要重申的是,就網絡安全漏洞的報告,必須基于法律規定,也即“不得在網絡產品提供者提供網絡產品安全漏洞修補措施之前發布漏洞信息”。這一安排,顯然是為了避免給惡意網絡攻擊者“帶路”“遞刀”,更是為了保護廣大終端用戶的數據安全、財產安全等實際權益。這是法定義務、行業慣例,大是大非的問題,絕不容越界亂來。
“負責任漏洞披露”,一則要“先報告,快修復,再公開”;再者,也要實事求是、客觀準確,絕不能夸大其詞、聳人聽聞……當下行業發展進入深水區,手機AI助手是全球科技競爭的前沿技術創新方向,谷歌也在跟進豆包手機助手的AI自動操作功能。關鍵時期,全行業還是不要重蹈新能源汽車行業“黑公關”“口水戰”的覆轍才好。
【未經授權,嚴禁轉載!聯系電話028-86968276】
