事件概述 - 有用户反映nubia M153工程机无法正常登录或操作微信任务，微信方面回应称可能触及了其安全风控措施 [1] - 事件核心在于该工程机为字节跳动的AI助手“豆包”开启了Android系统的高危权限INJECT_EVENTS，使其能模拟用户输入操作手机 [2] 技术权限与安全 - INJECT_EVENTS权限是Android系统最高级别的签名权限，允许应用向系统注入模拟的用户输入事件 [2] - 该权限通常只授予手机厂商或其深度合作伙伴，使应用在系统层面被视为操作系统的一部分，而非普通第三方软件 [2][6] - 获得此权限的AI应用（如豆包助手）可实现跨应用操作，而普通第三方AI应用（如ChatGPT官方App）无此权限则能力受限 [2] - 该权限若被滥用存在安全风险，例如可能被用于模拟手指输入银行密码、点击转账确认等，存在手机被完全接管的风险 [3] 行业合作与商业模式 - 豆包助手通过与终端手机厂商中兴合作，以工程机形式获得INJECT_EVENTS权限，这需要手机厂商用系统密钥对应用进行签名并烧录进手机ROM [3] - 类似小米小爱、荣耀yoyo等手机厂商原生的AI助手也拥有该权限 [3] - 行业观点认为，模型方与硬件方需要进行官方层面的深度合作，才有获取此类高级权限的合理性 [4] - 手机厂商vivo在AI与操作系统融合上采取“无感化”原则，旨在不改变用户原有习惯的前提下提供帮助 [6] 行业竞争与生态博弈 - 当前手机厂商、模型厂商、传统APP厂商三方均在尝试推进AI落地，竞争本质是私有数据与用户入口之争 [7] - 传统互联网应用（如美团、淘宝）的协议明确禁止第三方通过技术手段抓取其平台数据 [5][6] - 然而，通过手机操作系统层面获取权限的操作，可能不在传统APP禁止条款的讨论范围内，因为获得系统签名的应用被视为系统一部分而非外来软件 [6] - 中国信息通信研究院等单位已发布安全指引，要求智能体访问第三方应用时不得通过模拟用户行为等方式绕过核验，构建双重授权安全机制仍需时间 [7] 产品现状与目标 - 目前搭载豆包助手的中兴nubia M153是一款工程机，目标用户是开发者群体，而非普通消费者 [7] - 豆包方面回应称，其手机助手执行任务需用户授权，过程有明确展示且用户可中断，操作由用户触发和监督，并非自动执行 [3]