文丨壹觀察 宿藝

移動互聯(lián)網(wǎng)時代，用戶在“便捷”與“安全”之間，需要一個盡可能大的“重疊區(qū)”。

根據(jù) QuestMobile 數(shù)據(jù)：截至 2025 年 5 月，移動互聯(lián)網(wǎng)月活躍用戶規(guī)模提升至 12.62 億，同比增長了 2.2%。更重要的是，全網(wǎng)月人均使用時長同比增長了 8%，達(dá)到了 178.9 小時。

人們對 APP（包括小程序）的依賴不僅體現(xiàn)在時間上，還體現(xiàn)在全方位的依賴上，從衣食住行到辦公、娛樂，全部都在 APP 上實現(xiàn)。

海量的 APP，可以是方便當(dāng)代人暢游移動互聯(lián)網(wǎng)的工具，可以是提高工作效率的生產(chǎn)力工具，但同時部分 APP 也正在成為“風(fēng)險的載體”。一次不經(jīng)意的安裝，一次稀松平常的升級，一次簡單權(quán)限許可，都有可能給安全留下“隱患”。

近日，工信部信通院發(fā)布《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）風(fēng)險分類分級指南》（以下簡稱《指南》），相當(dāng)于為行業(yè)畫了一張“風(fēng)險導(dǎo)航圖”，給行業(yè)帶來三方面的積極影響：一是給出風(fēng)險趨勢警示，二是給出安全治理標(biāo)尺，三是促進(jìn)行業(yè)共治。

硬幣兩面，風(fēng)險與便利如影隨形

中國電信發(fā)布的《2024 年全國移動應(yīng)用安全觀測報告》顯示，2024 年，全國Android 應(yīng)用總量達(dá) 476 萬款，iOS應(yīng)用 319 萬款，微信小程序和公眾號總量突破 988 萬。其中 76.2% 的 Android 應(yīng)用存在高危漏洞，更令人擔(dān)憂的是，下載量越小的應(yīng)用，高危漏洞比例反而更高（72%）。

用戶感受最多的就是隱私安全問題。當(dāng)打開一個 APP 時，它往往會要求網(wǎng)絡(luò)授權(quán)、位置授權(quán)、攝像頭授權(quán)、麥克風(fēng)授權(quán)甚至是短信的讀取權(quán)限。不同意， APP 無法使用，一旦同意，就有可能出現(xiàn)個人信息被非法收集、濫用、泄露、篡改或不當(dāng)處理的潛在威脅，甚至引發(fā)財產(chǎn)損失或身份盜用等問題。此外，APP通訊錄授權(quán)，則很可能泄露個人社交圖譜，危害親友的個人信息，為營銷騷擾、電詐提供便利。至于說攝像頭、麥克風(fēng)授權(quán)，則有可能讓 APP 化身“監(jiān)聽器”。

還有一類 APP 存在主動性、針對性較強(qiáng)的惡意行為風(fēng)險。用戶下載該 APP 時，手機(jī)里的資料在悄無聲息下被惡意應(yīng)用開發(fā)者輕松獲取，一旦用戶有不當(dāng)社交行為，或資料中有敏感的信息，都會被 APP 開發(fā)者當(dāng)作把柄，并加以勒索。有的則是最初下載的 APP 沒有問題，但是其開發(fā)者利用熱更新篡改軟件，繞開審核，對用戶實施惡意侵害。

針對財產(chǎn)的安全風(fēng)險也是當(dāng)下的重災(zāi)區(qū)，除了最常見的自動續(xù)費(fèi)、誘導(dǎo)扣費(fèi)，還有誘導(dǎo)消費(fèi)、虛假網(wǎng)賺、網(wǎng)絡(luò)賭博等風(fēng)險。最近比較頻發(fā)的一類，是盜用國家機(jī)構(gòu)或知名企業(yè)名稱，利用高收益誘導(dǎo)用戶投資或充值，真是令人防不勝防。

針對安全風(fēng)險，主管部門持續(xù)推動依法治理、專項治理、科技治理、系統(tǒng)治理，并取得了一定的成果。根據(jù)官方公開數(shù)據(jù)整理，自 2019 年至 2025 年上半年，工信部關(guān)于侵害用戶權(quán)益行為的 APP（SDK）通報的數(shù)量達(dá) 3136 個，下架的數(shù)量為 646 個。

同時監(jiān)管部門也在實時發(fā)現(xiàn)問題 APP，從其 2025 年上半年通報 APP 類型分布，問題主要出現(xiàn)在實用工具、網(wǎng)絡(luò)游戲、學(xué)習(xí)教育和本地生活等類型的 APP 和 SDK （軟件開發(fā)工具包）。同時，也涉及到了今年比較火爆的 AIGC 應(yīng)用。

雖然治理不斷，但硬幣的兩面依然與日俱增。

APP 數(shù)量增長的同時，小程序、快應(yīng)用、H5 頁面、AI Agent 等新形態(tài)不斷涌現(xiàn)，用戶獲取服務(wù)更便捷，獲得的服務(wù)內(nèi)容也更豐富。

但同時惡意開發(fā)者利用“熱更新”“云控”等技術(shù)，繞開審查、逃避監(jiān)管，使得安全的風(fēng)險防控難度大大提升。顯然，風(fēng)險防控需要更高效的技術(shù)手段與行業(yè)共治。

有據(jù)可防：給行業(yè)一把“安全隱患標(biāo)尺”

隨著新的應(yīng)用形態(tài)、AI 技術(shù)的發(fā)展，安全隱患也在不斷“變異”，新情況頻發(fā)。有效治理的前提，不僅要深刻了解當(dāng)下的風(fēng)險，還要根據(jù)行業(yè)發(fā)展趨勢對未來的可能性做出精準(zhǔn)的洞察。

《指南》認(rèn)為，違規(guī)行為正在呈現(xiàn)隱匿性、多變性、廣泛性的特征，引發(fā)一系列亟待解決的難題。

首先，新形態(tài)多樣化，追責(zé)難。

小程序、快應(yīng)用、Hybrid App 等，因為更便捷普遍受到用戶喜愛，發(fā)展迅猛。以小程序為例，用戶無需下載可以“直通”服務(wù)，開發(fā)者的開發(fā)時間短、成本低。但小程序也更容易繞開應(yīng)用平臺和終端的審核，違法小程序有“空”可鉆。此外，小程序主要基于云端開發(fā)，服務(wù)內(nèi)容可實時更新，開發(fā)者僅需簡單操作即可實現(xiàn)單個小程序的多平臺上線，極大地增加了問題審核和追溯的難度。

其次，技術(shù)被惡意使用，防范難。

技術(shù)是雙刃劍，在開發(fā)者手里就是為用戶創(chuàng)造價值，在惡人手中就變成了犯罪的武器。一些 APP 通常是利用常規(guī)服務(wù)欺騙應(yīng)用商店以達(dá)到正常上架的目的，在用戶下載后通過熱更新環(huán)節(jié)，以非法內(nèi)容替換原有服務(wù)，通過越權(quán)、漏洞利用等方式進(jìn)行安全攻擊，危害用戶財產(chǎn)和隱私安全，讓用戶防不勝防。近兩年這樣的案例越來越多。

第三，AI 加速前行，新問題屢現(xiàn)。

2024 年被稱為 AI 應(yīng)用落地年。AI 在全方位、深層次、多維度重塑移動互聯(lián)網(wǎng)應(yīng)用的開發(fā)邏輯和服務(wù)模式的同時，也帶來多重新風(fēng)險：比如數(shù)據(jù)來源不實，大量虛假新聞被制造，誤導(dǎo)性信息沖擊輿論場；再比如利用 AI 技術(shù)輕松可以實時換臉，或者偽造聲音、視頻，實施敲詐勒索。

AI 創(chuàng)新帶來的有技術(shù)問題，有模式問題，也有價值觀問題，風(fēng)險種類多且復(fù)雜度高，需要更有前瞻性地制定治理方案。

根據(jù)當(dāng)前風(fēng)險行為的特征不同，并結(jié)合當(dāng)前階段風(fēng)險 APP 治理的重點(diǎn)，《指南》把 APP 風(fēng)險拆成 6 大類、4 個等級。

其中 6 大類包括隱私安全、惡意行為、服務(wù)異常、財產(chǎn)安全、內(nèi)容安全、未成年人安全，在二級目錄中給出更為具體的 45 項，并且列出了違規(guī)場景。一級類目按風(fēng)險性質(zhì)劃分，二級類目聚焦行為特征，邏輯層次清晰，覆蓋全面且一目了然，增強(qiáng)了可操作性。

根據(jù)影響對象和損害程度將風(fēng)險分為四級——低、中、高、極高。從損害對象的維度來看，國家安全>公共利益>系統(tǒng)安全>用戶權(quán)益。從損害程度，按波及范圍（少量/一定量/大量群體）和后果嚴(yán)重性分級。同時遵循就高原則，當(dāng)多重風(fēng)險并存時，按最高風(fēng)險定級。

《指南》還有一個特征，就是動態(tài)適應(yīng)性。一方面，納入前沿風(fēng)險，包括AIGC （如模型幻覺、數(shù)據(jù)濫用）、熱更新、云控、小程序責(zé)任模糊等新形態(tài)，適用性更強(qiáng)。二是開放調(diào)整機(jī)制，明確分類需隨政策、技術(shù)發(fā)展動態(tài)更新，確?！吨改稀返呐c時俱進(jìn)。

這份《指南》的核心價值在于為移動互聯(lián)網(wǎng)生態(tài)提供了一把隱患可量化、風(fēng)險可分級、治理可對標(biāo)的“安全標(biāo)尺”。它終結(jié)了風(fēng)險認(rèn)知的模糊地帶，統(tǒng)一度量衡、厘清邊界線，讓安全隱患變得有據(jù)可循（標(biāo)準(zhǔn)清晰）、有級可量（風(fēng)險分級）、有標(biāo)可防（分級施策），為 APP 開發(fā)者、分發(fā)平臺、終端廠商乃至監(jiān)管機(jī)構(gòu)提供了共同的“風(fēng)險語言”和行動標(biāo)尺，極大提升了全鏈條風(fēng)險識別、評估與協(xié)同治理的精準(zhǔn)性和效率。

行業(yè)共治：從“單點(diǎn)攔截”到“全鏈協(xié)同”

透過《指南》的分類，我們看到移動互聯(lián)網(wǎng)風(fēng)險的多樣性、復(fù)雜性、善變性，這已遠(yuǎn)超單一主體的防控能力。比如當(dāng)惡意開發(fā)者用“熱更新繞過審核”、以 AI 批量生成詐騙應(yīng)用出現(xiàn)時，碎片化的防御體系必然失效。只有從“單點(diǎn)攔截”向“全鏈協(xié)同”，構(gòu)筑起開發(fā)運(yùn)營、應(yīng)用分發(fā)、終端運(yùn)行三道防線，通過分類分級厘清責(zé)任、分級響應(yīng)實現(xiàn)協(xié)同，才能真正為用戶的數(shù)字生活保駕護(hù)航。

開發(fā)者要做好合規(guī)設(shè)計的“源頭保障”

開發(fā)階段嵌入合規(guī)設(shè)計，如對 AIGC 功能明示數(shù)據(jù)用途，禁用熱更新篡改代碼。同時，參照《指南》風(fēng)險類目自查，比如金融類 APP 參照“財產(chǎn)安全風(fēng)險”條目。

應(yīng)用分發(fā)平臺履行管理職責(zé)夯實安全根基

分發(fā)平臺加強(qiáng) APP 上架審核和在架巡查，可以基于分級結(jié)果采取差異化管控，比如對于高風(fēng)險、極高風(fēng)險堅決“不予上架”；在上架審核中，要特別識別熱更新馬甲包、山寨 APP 等高風(fēng)險形態(tài)；用 AI 模型掃描云控行為對“中風(fēng)險” APP 限期整改；對多次違規(guī)開發(fā)者凍結(jié)賬戶，實施信用懲戒等等。

終端廠商為用戶建立“安全防線”

現(xiàn)在市場上幾大頭部手機(jī)廠商都將安全問題置于首位，建立了極其嚴(yán)格的風(fēng)險防控體系。

比如 OPPO 已上線端云協(xié)同的 APP 風(fēng)險檢測及預(yù)警能力，圍繞 APP 上架、下架、終端側(cè)下載、安裝、啟動等全周期，進(jìn)行針對性管控。官方數(shù)據(jù)顯示，目前 OPPO 軟件商店日均攔截惡意資源下載達(dá) 260 萬次，安裝攔截 300 萬次，運(yùn)行攔截1500萬次。其他手機(jī)廠商也在用戶權(quán)益保護(hù)和風(fēng)險治理方面持續(xù)發(fā)力，據(jù)了解 24 年 vivo 手機(jī) APP 總體負(fù)反饋率較同期下降了 37%，其中盜版侵權(quán)類負(fù)反饋下降 14%，惡意扣費(fèi)類負(fù)反饋下降 14%，功能兼容類負(fù)反饋下降 44%。

當(dāng)然，在這三重防護(hù)之外，用戶的個人防控意識與行動也不可或缺。盡量在正規(guī)應(yīng)用商店下載、使用 APP，繞開來路不明的安裝包。當(dāng) APP 索要授權(quán)時，一定要仔細(xì)查看授權(quán)是否合理，不必要的不授權(quán)，能“僅這一次”就選擇一次，減少風(fēng)險發(fā)生的幾率。

《指南》在給標(biāo)尺、給路徑的基礎(chǔ)上，還從戰(zhàn)略層面給出建議：行業(yè)共治。也就是說從個人用戶到開發(fā)者，從平臺到終端廠商，應(yīng)該建立起一套高效的協(xié)同機(jī)制，信息共享、能力互補(bǔ)、響應(yīng)聯(lián)動。比如開發(fā)者公開 SDK 權(quán)限聲明，為終端廠商權(quán)限管控提供依據(jù)；平臺共享惡意樣本庫（如涉賭 APP 特征），賦能終端廠商預(yù)裝防護(hù)規(guī)則。

這其中值得一提的是安天移動，在三個層面為行業(yè)輸出能力。第一層是憑借技術(shù)創(chuàng)新，2024 年全年累計告警應(yīng)用風(fēng)險 33.6 億次，檢出風(fēng)險應(yīng)用 3167 萬款，攔截病毒威脅 12.6 億次，防護(hù)用戶超 3.2 億。第二層積極推動行業(yè)建立健全安全技術(shù)規(guī)范，牽頭編制了《App 生命周期安全管理指南》國家標(biāo)準(zhǔn)，把自己的經(jīng)驗分享給行業(yè)。第三，相繼與榮耀等手機(jī)廠商伙伴通過聯(lián)合實驗室、專項合作等方式深入共建風(fēng)險協(xié)同治理能力，通過技術(shù)協(xié)同實現(xiàn) 1+1>2 的防范能力，給行業(yè)共治打了個樣兒。

《壹觀察》評論

從移動互聯(lián)網(wǎng)到萬物互聯(lián)時代，用戶對不同場景下服務(wù)需求的連貫性與便捷性出現(xiàn)“躍遷式”提升，同時對信息安全與隱私保護(hù)也帶來了前所未有的巨大挑戰(zhàn)。這其實，也是工信部信通院發(fā)布聯(lián)合產(chǎn)業(yè)各方發(fā)布《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）風(fēng)險分類分級指南》的重要原因。

中國是最大的移動互聯(lián)網(wǎng)市場，也是全球移動互聯(lián)和 AI 智能革新的“兩極”之一。唯有建立行業(yè)共識、共治、共生的安全體系，才是我們整個產(chǎn)業(yè)完成“新質(zhì)生產(chǎn)力”轉(zhuǎn)型升級的“最優(yōu)選”之一。而《指南》通過分類分級將模糊的“安全責(zé)任”轉(zhuǎn)化為可量化、可分割、可追溯的精準(zhǔn)責(zé)任矩陣：開發(fā)者守住源頭、平臺嚴(yán)控流通、終端筑牢堡壘。唯有如此，方能在移動互聯(lián)網(wǎng)的“漏洞攻防戰(zhàn)”中構(gòu)建動態(tài)免疫網(wǎng)絡(luò)與長期健康發(fā)展。