□蒋璟璟

2月27日，豆包手机助手发布关于恶意炒作“豆包手机助手漏洞”黑公关行为的严正声明。声明中提到，截至目前，并未收到豆包手机助手漏洞的详细报告，也未接到网络安全相关监管部门的通报。相关作者在未向厂商报告漏洞信息的情况下，恶意传播并夸大漏洞风险。根据国家《网络产品安全漏洞管理规定》，违规公开漏洞已涉嫌违法。（光明网）

这份声明说得坦诚，“任何系统都会存在漏洞，重要的是负责任地披露和修复漏洞。”而回顾以往案例，我们其实还可以有另一个大致的判断，那就是“越是复杂的系统，就越是难杜绝漏洞”。无论是早期的PC端Windows系统，还是智能手机时代ios、安卓系统，都是这样。至于说，各个大系统下的子系统与生态应用，亦是如此。正是基于这一事实，才有个各种“补丁”“迭代”“更新推送”，并在这个进程中，系统最终臻于完善。

而到了AI时代，即便研发环节有了新编程工具和新安全检验工具的助力，想必也没有哪个新系统敢打包票说自己天生就无懈可击。该如何理解系统的漏洞？首先要看“性质”和“触发条件”。最近一些博主、网友所演示的所谓的豆包手机助手漏洞，更多是源于系统执行了用户特定的“反常指令”，比如说“要求AI查看恶意邮件或恶意短信”——对此，可以说是很小概率才会发生的潜在风险。人们看到新短信或新邮件通知通常会直接点开，而不是调用AI去查看再转告自己。而这，并非一般意义上的“安全漏洞”。

系统的漏洞，可以分为底层的逻辑缺陷、主体的结构缺陷，这属于“天生残疾”；还有一种，则是特定场景、特定条件下极小概率的耦合，我们常说的小bug，大体属于这类。诚然，bug很讨厌，经常都是奇奇怪怪，这边冒一下、那边冒一下。但通常而言，这类bug对真实用户的影响有限。对于一些手机助手的小bug，网络平台上出现大批量的安全恐吓内容，就属于博人眼球、制造恐慌了。

其实，从PC端时代，直至如今AI时代，负责任的厂商基本都是“开门纳谏”的，都会重金悬赏漏洞报告者。只是需要重申的是，就网络安全漏洞的报告，必须基于法律规定，也即“不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息”。这一安排，显然是为了避免给恶意网络攻击者“带路”“递刀”，更是为了保护广大终端用户的数据安全、财产安全等实际权益。这是法定义务、行业惯例，大是大非的问题，绝不容越界乱来。

“负责任漏洞披露”，一则要“先报告，快修复，再公开”；再者，也要实事求是、客观准确，绝不能夸大其词、耸人听闻……当下行业发展进入深水区，手机AI助手是全球科技竞争的前沿技术创新方向，谷歌也在跟进豆包手机助手的AI自动操作功能。关键时期，全行业还是不要重蹈新能源汽车行业“黑公关”“口水战”的覆辙才好。