風險可量化、治理可協(xié)同：APP 分級指南重塑移動安全新秩序

開發(fā)者守住源頭、平臺嚴控流通、終端共同筑牢堡壘 。。

作 者 丨 宿藝

編 輯 丨 子淇

移動互聯(lián)網(wǎng)時代，用戶在“便捷”與“安全”之間，需要一個盡可能大的“重疊區(qū)”。

根據(jù) QuestMobile 數(shù)據(jù)：截至 2025 年 5 月，移動互聯(lián)網(wǎng)月活躍用戶規(guī)模提升至 12.62 億，同比增長了 2.2%。更重要的是，全網(wǎng)月人均使用時長同比增長了 8%，達到了 178.9 小時。

人們對 APP（包括小程序）的依賴不僅體現(xiàn)在時間上，還體現(xiàn)在全方位的依賴上，從衣食住行到辦公、娛樂，全部都在 APP 上實現(xiàn)。

海量的 APP，可以是方便當代人暢游移動互聯(lián)網(wǎng)的工具，可以是提高工作效率的生產(chǎn)力工具，但同時部分 APP 也正在成為“風險的載體”。一次不經(jīng)意的安裝，一次稀松平常的升級，一次簡單權限許可，都有可能給安全留下“隱患”。

近日，工信部信通院發(fā)布《移動互聯(lián)網(wǎng)應用程序（APP）風險分類分級指南》（以下簡稱《指南》），相當于為行業(yè)畫了一張“風險導航圖”，給行業(yè)帶來三方面的積極影響：一是給出風險趨勢警示，二是給出安全治理標尺，三是促進行業(yè)共治。

硬幣兩面，風險與便利如影隨形

中國電信發(fā)布的《2024 年全國移動應用安全觀測報告》顯示，2024 年，全國Android 應用總量達 476 萬款，iOS應用 319 萬款，微信小程序和公眾號總量突破 988 萬。其中 76.2% 的 Android 應用存在高危漏洞，更令人擔憂的是，下載量越小的應用，高危漏洞比例反而更高（72%）。

用戶感受最多的就是隱私安全問題。當打開一個 APP 時，它往往會要求網(wǎng)絡授權、位置授權、攝像頭授權、麥克風授權甚至是短信的讀取權限。不同意， APP 無法使用，一旦同意，就有可能出現(xiàn)個人信息被非法收集、濫用、泄露、篡改或不當處理的潛在威脅，甚至引發(fā)財產(chǎn)損失或身份盜用等問題。此外，APP通訊錄授權，則很可能泄露個人社交圖譜，危害親友的個人信息，為營銷騷擾、電詐提供便利。至于說攝像頭、麥克風授權，則有可能讓 APP 化身“監(jiān)聽器”。

還有一類 APP 存在主動性、針對性較強的惡意行為風險。用戶下載該 APP 時，手機里的資料在悄無聲息下被惡意應用開發(fā)者輕松獲取，一旦用戶有不當社交行為，或資料中有敏感的信息，都會被 APP 開發(fā)者當作把柄，并加以勒索。有的則是最初下載的 APP 沒有問題，但是其開發(fā)者利用熱更新篡改軟件，繞開審核，對用戶實施惡意侵害。

針對財產(chǎn)的安全風險也是當下的重災區(qū)，除了最常見的自動續(xù)費、誘導扣費，還有誘導消費、虛假網(wǎng)賺、網(wǎng)絡賭博等風險。最近比較頻發(fā)的一類，是盜用國家機構或知名企業(yè)名稱，利用高收益誘導用戶投資或充值，真是令人防不勝防。

針對安全風險，主管部門持續(xù)推動依法治理、專項治理、科技治理、系統(tǒng)治理，并取得了一定的成果。根據(jù)官方公開數(shù)據(jù)整理，自 2019 年至 2025 年上半年，工信部關于侵害用戶權益行為的 APP（SDK）通報的數(shù)量達 3136 個，下架的數(shù)量為 646 個。

同時監(jiān)管部門也在實時發(fā)現(xiàn)問題 APP，從其 2025 年上半年通報 APP 類型分布，問題主要出現(xiàn)在實用工具、網(wǎng)絡游戲、學習教育和本地生活等類型的 APP 和 SDK （軟件開發(fā)工具包）。同時，也涉及到了今年比較火爆的 AIGC 應用。

雖然治理不斷，但硬幣的兩面依然與日俱增。

APP 數(shù)量增長的同時，小程序、快應用、H5 頁面、AI Agent 等新形態(tài)不斷涌現(xiàn)，用戶獲取服務更便捷，獲得的服務內容也更豐富。

但同時惡意開發(fā)者利用“熱更新”“云控”等技術，繞開審查、逃避監(jiān)管，使得安全的風險防控難度大大提升。顯然，風險防控需要更高效的技術手段與行業(yè)共治。

有據(jù)可防：給行業(yè)一把“安全隱患標尺”

隨著新的應用形態(tài)、AI 技術的發(fā)展，安全隱患也在不斷“變異”，新情況頻發(fā)。有效治理的前提，不僅要深刻了解當下的風險，還要根據(jù)行業(yè)發(fā)展趨勢對未來的可能性做出精準的洞察。

《指南》認為，違規(guī)行為正在呈現(xiàn)隱匿性、多變性、廣泛性的特征，引發(fā)一系列亟待解決的難題。

首先，新形態(tài)多樣化，追責難。

小程序、快應用、Hybrid App 等，因為更便捷普遍受到用戶喜愛，發(fā)展迅猛。以小程序為例，用戶無需下載可以“直通”服務，開發(fā)者的開發(fā)時間短、成本低。但小程序也更容易繞開應用平臺和終端的審核，違法小程序有“空”可鉆。此外，小程序主要基于云端開發(fā)，服務內容可實時更新，開發(fā)者僅需簡單操作即可實現(xiàn)單個小程序的多平臺上線，極大地增加了問題審核和追溯的難度。

其次，技術被惡意使用，防范難。

技術是雙刃劍，在開發(fā)者手里就是為用戶創(chuàng)造價值，在惡人手中就變成了犯罪的武器。一些 APP 通常是利用常規(guī)服務欺騙應用商店以達到正常上架的目的，在用戶下載后通過熱更新環(huán)節(jié)，以非法內容替換原有服務，通過越權、漏洞利用等方式進行安全攻擊，危害用戶財產(chǎn)和隱私安全，讓用戶防不勝防。近兩年這樣的案例越來越多。

第三，AI 加速前行，新問題屢現(xiàn)。

2024 年被稱為 AI 應用落地年。AI 在全方位、深層次、多維度重塑移動互聯(lián)網(wǎng)應用的開發(fā)邏輯和服務模式的同時，也帶來多重新風險：比如數(shù)據(jù)來源不實，大量虛假新聞被制造，誤導性信息沖擊輿論場；再比如利用 AI 技術輕松可以實時換臉，或者偽造聲音、視頻，實施敲詐勒索。

AI 創(chuàng)新帶來的有技術問題，有模式問題，也有價值觀問題，風險種類多且復雜度高，需要更有前瞻性地制定治理方案。

根據(jù)當前風險行為的特征不同，并結合當前階段風險 APP 治理的重點，《指南》把 APP 風險拆成 6 大類、4 個等級。

其中 6 大類包括隱私安全、惡意行為、服務異常、財產(chǎn)安全、內容安全、未成年人安全，在二級目錄中給出更為具體的 45 項，并且列出了違規(guī)場景。一級類目按風險性質劃分，二級類目聚焦行為特征，邏輯層次清晰，覆蓋全面且一目了然，增強了可操作性。

根據(jù)影響對象和損害程度將風險分為四級——低、中、高、極高。從損害對象的維度來看，國家安全>公共利益>系統(tǒng)安全>用戶權益。從損害程度，按波及范圍（少量/一定量/大量群體）和后果嚴重性分級。同時遵循就高原則，當多重風險并存時，按最高風險定級。

《指南》還有一個特征，就是動態(tài)適應性。一方面，納入前沿風險，包括AIGC （如模型幻覺、數(shù)據(jù)濫用）、熱更新、云控、小程序責任模糊等新形態(tài)，適用性更強。二是開放調整機制，明確分類需隨政策、技術發(fā)展動態(tài)更新，確保《指南》的與時俱進。

這份《指南》的核心價值在于為移動互聯(lián)網(wǎng)生態(tài)提供了一把隱患可量化、風險可分級、治理可對標的“安全標尺”。它終結了風險認知的模糊地帶，統(tǒng)一度量衡、厘清邊界線，讓安全隱患變得有據(jù)可循（標準清晰）、有級可量（風險分級）、有標可防（分級施策），為 APP 開發(fā)者、分發(fā)平臺、終端廠商乃至監(jiān)管機構提供了共同的“風險語言”和行動標尺，極大提升了全鏈條風險識別、評估與協(xié)同治理的精準性和效率。

行業(yè)共治：從“單點攔截”到“全鏈協(xié)同”

透過《指南》的分類，我們看到移動互聯(lián)網(wǎng)風險的多樣性、復雜性、善變性，這已遠超單一主體的防控能力。比如當惡意開發(fā)者用“熱更新繞過審核”、以 AI 批量生成詐騙應用出現(xiàn)時，碎片化的防御體系必然失效。只有從“單點攔截”向“全鏈協(xié)同”，構筑起開發(fā)運營、應用分發(fā)、終端運行三道防線，通過分類分級厘清責任、分級響應實現(xiàn)協(xié)同，才能真正為用戶的數(shù)字生活保駕護航。

開發(fā)者要做好合規(guī)設計的“源頭保障”

開發(fā)階段嵌入合規(guī)設計，如對 AIGC 功能明示數(shù)據(jù)用途，禁用熱更新篡改代碼。同時，參照《指南》風險類目自查，比如金融類 APP 參照“財產(chǎn)安全風險”條目。

應用分發(fā)平臺履行管理職責夯實安全根基

分發(fā)平臺加強 APP 上架審核和在架巡查，可以基于分級結果采取差異化管控，比如對于高風險、極高風險堅決“不予上架”；在上架審核中，要特別識別熱更新馬甲包、山寨 APP 等高風險形態(tài)；用 AI 模型掃描云控行為對“中風險” APP 限期整改；對多次違規(guī)開發(fā)者凍結賬戶，實施信用懲戒等等。

終端廠商為用戶建立“安全防線”

現(xiàn)在市場上幾大頭部手機廠商都將安全問題置于首位，建立了極其嚴格的風險防控體系。

比如 OPPO 已上線端云協(xié)同的 APP 風險檢測及預警能力，圍繞 APP 上架、下架、終端側下載、安裝、啟動等全周期，進行針對性管控。官方數(shù)據(jù)顯示，目前 OPPO 軟件商店日均攔截惡意資源下載達 260 萬次，安裝攔截 300 萬次，運行攔截1500萬次。其他手機廠商也在用戶權益保護和風險治理方面持續(xù)發(fā)力，據(jù)了解 24 年 vivo 手機 APP 總體負反饋率較同期下降了 37%，其中盜版侵權類負反饋下降 14%，惡意扣費類負反饋下降 14%，功能兼容類負反饋下降 44%。

當然，在這三重防護之外，用戶的個人防控意識與行動也不可或缺。盡量在正規(guī)應用商店下載、使用 APP，繞開來路不明的安裝包。當 APP 索要授權時，一定要仔細查看授權是否合理，不必要的不授權，能“僅這一次”就選擇一次，減少風險發(fā)生的幾率。

《指南》在給標尺、給路徑的基礎上，還從戰(zhàn)略層面給出建議：行業(yè)共治。也就是說從個人用戶到開發(fā)者，從平臺到終端廠商，應該建立起一套高效的協(xié)同機制，信息共享、能力互補、響應聯(lián)動。比如開發(fā)者公開 SDK 權限聲明，為終端廠商權限管控提供依據(jù)；平臺共享惡意樣本庫（如涉賭 APP 特征），賦能終端廠商預裝防護規(guī)則。

這其中值得一提的是安天移動，在三個層面為行業(yè)輸出能力。第一層是憑借技術創(chuàng)新，2024 年全年累計告警應用風險 33.6 億次，檢出風險應用 3167 萬款，攔截病毒威脅 12.6 億次，防護用戶超 3.2 億。第二層積極推動行業(yè)建立健全安全技術規(guī)范，牽頭編制了《App 生命周期安全管理指南》國家標準，把自己的經(jīng)驗分享給行業(yè)。第三，相繼與榮耀等手機廠商伙伴通過聯(lián)合實驗室、專項合作等方式深入共建風險協(xié)同治理能力，通過技術協(xié)同實現(xiàn) 1+1>2 的防范能力，給行業(yè)共治打了個樣兒。

《壹觀察》評論

從移動互聯(lián)網(wǎng)到萬物互聯(lián)時代，用戶對不同場景下服務需求的連貫性與便捷性出現(xiàn)“躍遷式”提升，同時對信息安全與隱私保護也帶來了前所未有的巨大挑戰(zhàn)。這其實，也是工信部信通院發(fā)布聯(lián)合產(chǎn)業(yè)各方發(fā)布《移動互聯(lián)網(wǎng)應用程序（APP）風險分類分級指南》的重要原因。

中國是最大的移動互聯(lián)網(wǎng)市場，也是全球移動互聯(lián)和 AI 智能革新的“兩極”之一。唯有建立行業(yè)共識、共治、共生的安全體系，才是我們整個產(chǎn)業(yè)完成“新質生產(chǎn)力”轉型升級的“最優(yōu)選”之一。而《指南》通過分類分級將模糊的“安全責任”轉化為可量化、可分割、可追溯的精準責任矩陣：開發(fā)者守住源頭、平臺嚴控流通、終端筑牢堡壘。唯有如此，方能在移動互聯(lián)網(wǎng)的“漏洞攻防戰(zhàn)”中構建動態(tài)免疫網(wǎng)絡與長期健康發(fā)展。

「壹觀察」創(chuàng)始人宿藝

原搜狐科技通信主編

今日頭條、騰訊新聞、搜狐搜索「壹觀察」

百家號、微博、抖音搜索「宿藝」關注更多

丨智能硬件丨通信丨新零售丨人工智能丨

丨智聯(lián)網(wǎng)汽車丨智能家居丨