網(wǎng)絡(luò)漏洞“搶發(fā)”，不等于正常行業(yè)監(jiān)督

　　圍繞豆包手機(jī)助手所謂“安全漏洞”的爭(zhēng)議，近日在網(wǎng)絡(luò)上引發(fā)不小關(guān)注。

　　2月27日，豆包手機(jī)助手官方發(fā)布嚴(yán)正聲明，直指近期網(wǎng)傳“安全漏洞”系有組織、無(wú)上報(bào)、惡意炒作的黑公關(guān)行為，明確截至聲明發(fā)布，未收到合規(guī)漏洞報(bào)告、未接到監(jiān)管通報(bào)，相關(guān)方未經(jīng)核實(shí)便公開(kāi)傳播所謂漏洞細(xì)節(jié)，已涉嫌違反《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》。

　　網(wǎng)絡(luò)時(shí)代，數(shù)據(jù)安全與用戶隱私早已成為全民關(guān)注的焦點(diǎn)。一個(gè)網(wǎng)站、一款產(chǎn)品的安全漏洞，非但可能損害用戶權(quán)益，還可能引發(fā)連鎖性的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。正因如此，漏洞曝光需基于客觀事實(shí)、遵循法定流程，著眼于推動(dòng)產(chǎn)品完善、守護(hù)網(wǎng)絡(luò)安全。

　　反觀眼下這起事件，看似跟安全漏洞有關(guān)，卻沒(méi)有具體的漏洞細(xì)節(jié)，沒(méi)有可復(fù)現(xiàn)的測(cè)試方法，沒(méi)有明確的危害范圍，更沒(méi)有向產(chǎn)品官方或監(jiān)管部門進(jìn)行正規(guī)報(bào)告。這不免引人思考：究竟什么是安全漏洞？漏洞曝光又該秉持怎樣的原則？

　　要回答這些問(wèn)題，首先需要明確安全漏洞的核心定義。全球網(wǎng)絡(luò)安全行業(yè)及國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)均明確，真正的網(wǎng)絡(luò)安全漏洞，須滿足“未經(jīng)授權(quán)、自動(dòng)觸發(fā)、可被利用”三個(gè)基本特征。也就是說(shuō)，無(wú)需用戶同意、無(wú)需主動(dòng)操作、可被外部非法利用，是判斷漏洞是否存在的關(guān)鍵。

　　如果AI助手訪問(wèn)網(wǎng)頁(yè)是產(chǎn)品自動(dòng)執(zhí)行、后臺(tái)悄悄運(yùn)行或繞過(guò)用戶權(quán)限發(fā)生，那毫無(wú)疑問(wèn)，這確實(shí)是在安全漏洞之列。

　　但此次相關(guān)方披露的所謂“安全漏洞”，卻需要用戶主動(dòng)要求AI查看惡意郵件或惡意短信才會(huì)觸發(fā)，演示的是“用戶要求AI去點(diǎn)擊某個(gè)頁(yè)面-AI理解并執(zhí)行-AI產(chǎn)品被指產(chǎn)品失控”。這相當(dāng)于用戶打開(kāi)瀏覽器輸入網(wǎng)址，卻指責(zé)瀏覽器存在會(huì)自動(dòng)訪問(wèn)網(wǎng)頁(yè)的漏洞，本質(zhì)上是對(duì)AI助手工作原理的曲解、對(duì)安全邊界的錯(cuò)認(rèn)、對(duì)用戶授權(quán)前提的無(wú)視。

　　作為系統(tǒng)級(jí)手機(jī)AI助手，其核心能力就是跨應(yīng)用執(zhí)行、理解復(fù)雜指令、幫助用戶完成操作，這是產(chǎn)品設(shè)計(jì)的核心目標(biāo)，也是用戶價(jià)值的核心錨點(diǎn)。

　　當(dāng)AI助手按照用戶指令訪問(wèn)了惡意頁(yè)面，受到頁(yè)面誤導(dǎo)而產(chǎn)生預(yù)期外的操作，其本質(zhì)和人類訪問(wèn)釣魚網(wǎng)站被欺騙是一樣的，這類安全問(wèn)題的專業(yè)術(shù)語(yǔ)是“誘導(dǎo)劫持”。

　　還要看到，判斷產(chǎn)品安全漏洞是否存在，要對(duì)安全漏洞問(wèn)題進(jìn)行反映，都有著明確的行業(yè)規(guī)范和法定標(biāo)準(zhǔn)。

　　根據(jù)國(guó)家層面的《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范》，漏洞的確認(rèn)需要經(jīng)過(guò)“發(fā)現(xiàn)—報(bào)告—驗(yàn)證—處置”的完整流程，漏洞發(fā)現(xiàn)者應(yīng)客觀、真實(shí)地描述漏洞細(xì)節(jié)，包括產(chǎn)品名稱、版本、漏洞技術(shù)特點(diǎn)、危害范圍等核心信息，并通過(guò)正規(guī)渠道向產(chǎn)品提供者或相關(guān)監(jiān)管部門報(bào)告，由相關(guān)方進(jìn)行技術(shù)驗(yàn)證后，才能確認(rèn)漏洞的真實(shí)性與危害等級(jí)。

　　但此次事件中，“漏洞曝光者”既未向產(chǎn)品方提供任何可驗(yàn)證的漏洞細(xì)節(jié)，也未通過(guò)國(guó)家網(wǎng)信辦開(kāi)通的12387網(wǎng)絡(luò)安全事件報(bào)告熱線、官網(wǎng)等正規(guī)渠道向監(jiān)管部門報(bào)告，其行為本就不符合漏洞發(fā)現(xiàn)與報(bào)告的基本規(guī)范。

　　在網(wǎng)絡(luò)安全領(lǐng)域，“漏洞”不是用來(lái)博眼球、搞炒作的工具，而是需要被嚴(yán)肅對(duì)待、及時(shí)修復(fù)的安全隱患。

　　在“漏洞”未確證的基礎(chǔ)上加以渲染，很可能演變?yōu)榇蛑W(wǎng)絡(luò)安全名義危害網(wǎng)絡(luò)安全。若任由此類做法蔓延，不僅會(huì)誤導(dǎo)公眾，引發(fā)不必要的恐慌，還會(huì)損害產(chǎn)品開(kāi)發(fā)者的合法權(quán)益，挫傷企業(yè)投入網(wǎng)絡(luò)安全研發(fā)的積極性。更值得警惕的是，虛假漏洞的炒作可能被不法分子利用，借機(jī)傳播惡意程序、竊取用戶信息，反而真正威脅到網(wǎng)絡(luò)安全與用戶權(quán)益。

　　這并非否定行業(yè)監(jiān)督，只是說(shuō)，正當(dāng)?shù)男袠I(yè)監(jiān)督是推動(dòng)網(wǎng)絡(luò)產(chǎn)品質(zhì)量提升、守護(hù)網(wǎng)絡(luò)安全的重要力量，而不是適得其反。

　　這里面，其實(shí)就牽涉到了正當(dāng)行業(yè)監(jiān)督與惡意漏洞“搶發(fā)”之別。

　　正當(dāng)?shù)男袠I(yè)監(jiān)督，其核心出發(fā)點(diǎn)是守護(hù)網(wǎng)絡(luò)安全、維護(hù)用戶權(quán)益，行為方式上嚴(yán)格遵循法律法規(guī)和行業(yè)規(guī)范，最終目的是推動(dòng)產(chǎn)品完善、促進(jìn)行業(yè)健康發(fā)展?！毒W(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》就鼓勵(lì)相關(guān)組織和個(gè)人向網(wǎng)絡(luò)產(chǎn)品提供者通報(bào)其產(chǎn)品存在的安全漏洞，漏洞發(fā)現(xiàn)者應(yīng)在遵循“必要、真實(shí)、客觀”原則的基礎(chǔ)上，配合產(chǎn)品提供者進(jìn)行漏洞驗(yàn)證與修復(fù)，在廠商提供修補(bǔ)措施后，再合理發(fā)布漏洞信息，確保曝光行為不會(huì)引發(fā)額外的安全風(fēng)險(xiǎn)。

　　惡意的漏洞“搶發(fā)”，則可能是為了博取流量關(guān)注，可能是為了進(jìn)行不正當(dāng)競(jìng)爭(zhēng)，其行為方式完全違背法律法規(guī)和行業(yè)規(guī)范，最終損害網(wǎng)絡(luò)安全與公眾利益。故《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》明確，任何組織或個(gè)人不得在網(wǎng)絡(luò)產(chǎn)品提供者提供修補(bǔ)措施之前發(fā)布漏洞信息，不得刻意夸大漏洞的危害和風(fēng)險(xiǎn)，不得利用漏洞信息實(shí)施惡意炒作、敲詐勒索等違法犯罪活動(dòng)。

　　這就需要社會(huì)多方去理性看待網(wǎng)絡(luò)安全命題：AI時(shí)代的安全，需要專業(yè)判斷，而不是偷換概念、制造恐慌、違背技術(shù)常識(shí)的誤導(dǎo)。毋庸諱言，在技術(shù)快速迭代的過(guò)程中，任何產(chǎn)品都可能存在需要完善的地方，漏洞的發(fā)現(xiàn)與修復(fù)，本是行業(yè)發(fā)展的正常過(guò)程。但這種正常的行業(yè)迭代，不該成為惡意炒作的借口，更不應(yīng)成為危害網(wǎng)絡(luò)安全的工具。

　　要而言之，網(wǎng)絡(luò)安全無(wú)小事，漏洞曝光需嚴(yán)謹(jǐn)，不可借漏洞曝光之名，行危害安全之實(shí)。畢竟，曝光漏洞的初心，應(yīng)是守護(hù)安全、推動(dòng)進(jìn)步，而不是謀取私利、制造混亂。

　　唯有堅(jiān)守法律底線、恪守行業(yè)倫理，明確正當(dāng)監(jiān)督與惡意炒作的邊界，讓漏洞發(fā)現(xiàn)、報(bào)告、修復(fù)、發(fā)布回歸規(guī)范軌道，才能守護(hù)好用戶權(quán)益，促進(jìn)網(wǎng)絡(luò)安全生態(tài)持續(xù)健康發(fā)展。

（文章來(lái)源：21世紀(jì)經(jīng)濟(jì)報(bào)道）

(原標(biāo)題：網(wǎng)絡(luò)漏洞“搶發(fā)”，不等于正常行業(yè)監(jiān)督)

(責(zé)任編輯：43)