网络漏洞“抢发”，不等于正常行业监督

围绕豆包手机助手所谓“安全漏洞”的争议，近日在网络上引发不小关注。

2月27日，豆包手机助手官方发布严正声明，直指近期网传“安全漏洞”系有组织、无上报、恶意炒作的黑公关行为，明确截至声明发布，未收到合规漏洞报告、未接到监管通报，相关方未经核实便公开传播所谓漏洞细节，已涉嫌违反《网络产品安全漏洞管理规定》。

网络时代，数据安全与用户隐私早已成为全民关注的焦点。一个网站、一款产品的安全漏洞，非但可能损害用户权益，还可能引发连锁性的网络安全风险。正因如此，漏洞曝光需基于客观事实、遵循法定流程，着眼于推动产品完善、守护网络安全。

反观眼下这起事件，看似跟安全漏洞有关，却没有具体的漏洞细节，没有可复现的测试方法，没有明确的危害范围，更没有向产品官方或监管部门进行正规报告。这不免引人思考：究竟什么是安全漏洞？漏洞曝光又该秉持怎样的原则？

要回答这些问题，首先需要明确安全漏洞的核心定义。全球网络安全行业及国家网络安全标准均明确，真正的网络安全漏洞，须满足“未经授权、自动触发、可被利用”三个基本特征。也就是说，无需用户同意、无需主动操作、可被外部非法利用，是判断漏洞是否存在的关键。

如果AI助手访问网页是产品自动执行、后台悄悄运行或绕过用户权限发生，那毫无疑问，这确实是在安全漏洞之列。

但此次相关方披露的所谓“安全漏洞”，却需要用户主动要求AI查看恶意邮件或恶意短信才会触发，演示的是“用户要求AI去点击某个页面-AI理解并执行-AI产品被指产品失控”。这相当于用户打开浏览器输入网址，却指责浏览器存在会自动访问网页的漏洞，本质上是对AI助手工作原理的曲解、对安全边界的错认、对用户授权前提的无视。

作为系统级手机AI助手，其核心能力就是跨应用执行、理解复杂指令、帮助用户完成操作，这是产品设计的核心目标，也是用户价值的核心锚点。

当AI助手按照用户指令访问了恶意页面，受到页面误导而产生预期外的操作，其本质和人类访问钓鱼网站被欺骗是一样的，这类安全问题的专业术语是“诱导劫持”。

还要看到，判断产品安全漏洞是否存在，要对安全漏洞问题进行反映，都有着明确的行业规范和法定标准。

根据国家层面的《信息安全技术网络安全漏洞管理规范》，漏洞的确认需要经过“发现—报告—验证—处置”的完整流程，漏洞发现者应客观、真实地描述漏洞细节，包括产品名称、版本、漏洞技术特点、危害范围等核心信息，并通过正规渠道向产品提供者或相关监管部门报告，由相关方进行技术验证后，才能确认漏洞的真实性与危害等级。

但此次事件中，“漏洞曝光者”既未向产品方提供任何可验证的漏洞细节，也未通过国家网信办开通的12387网络安全事件报告热线、官网等正规渠道向监管部门报告，其行为本就不符合漏洞发现与报告的基本规范。

在网络安全领域，“漏洞”不是用来博眼球、搞炒作的工具，而是需要被严肃对待、及时修复的安全隐患。

在“漏洞”未确证的基础上加以渲染，很可能演变为打着网络安全名义危害网络安全。若任由此类做法蔓延，不仅会误导公众，引发不必要的恐慌，还会损害产品开发者的合法权益，挫伤企业投入网络安全研发的积极性。更值得警惕的是，虚假漏洞的炒作可能被不法分子利用，借机传播恶意程序、窃取用户信息，反而真正威胁到网络安全与用户权益。

这并非否定行业监督，只是说，正当的行业监督是推动网络产品质量提升、守护网络安全的重要力量，而不是适得其反。

这里面，其实就牵涉到了正当行业监督与恶意漏洞“抢发”之别。

正当的行业监督，其核心出发点是守护网络安全、维护用户权益，行为方式上严格遵循法律法规和行业规范，最终目的是推动产品完善、促进行业健康发展。《网络产品安全漏洞管理规定》就鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞，漏洞发现者应在遵循“必要、真实、客观”原则的基础上，配合产品提供者进行漏洞验证与修复，在厂商提供修补措施后，再合理发布漏洞信息，确保曝光行为不会引发额外的安全风险。

恶意的漏洞“抢发”，则可能是为了博取流量关注，可能是为了进行不正当竞争，其行为方式完全违背法律法规和行业规范，最终损害网络安全与公众利益。故《网络产品安全漏洞管理规定》明确，任何组织或个人不得在网络产品提供者提供修补措施之前发布漏洞信息，不得刻意夸大漏洞的危害和风险，不得利用漏洞信息实施恶意炒作、敲诈勒索等违法犯罪活动。

这就需要社会多方去理性看待网络安全命题：AI时代的安全，需要专业判断，而不是偷换概念、制造恐慌、违背技术常识的误导。毋庸讳言，在技术快速迭代的过程中，任何产品都可能存在需要完善的地方，漏洞的发现与修复，本是行业发展的正常过程。但这种正常的行业迭代，不该成为恶意炒作的借口，更不应成为危害网络安全的工具。

要而言之，网络安全无小事，漏洞曝光需严谨，不可借漏洞曝光之名，行危害安全之实。毕竟，曝光漏洞的初心，应是守护安全、推动进步，而不是谋取私利、制造混乱。

唯有坚守法律底线、恪守行业伦理，明确正当监督与恶意炒作的边界，让漏洞发现、报告、修复、发布回归规范轨道，才能守护好用户权益，促进网络安全生态持续健康发展。

文/张言