2月27日,豆包手机助手在官微发布“关于恶意炒作‘豆包手机助手漏洞’黑公关行为的严正声明”。声明称,最近网上出现一批声称“豆包手机助手存在安全漏洞”的内容,相关作者在未向厂商报告漏洞信息的情况下,恶意传播并夸大漏洞风险。(2月27日新京报)
这事儿一出,网上议论纷纷。豆包手机这个产品怎么样先放一边,这件事倒是抛出了一个挺实在的问题:发现了网络安全漏洞,到底能不能想公开就公开?
咱们现在的生活,可以说天天泡在各类APP里,AI手机更是个新鲜事物。它安不安全,大家自然特别上心。
但是,网上那些视频,仔细一看,有个关键前提:得用户自己主动让AI去查看一封恶意邮件,才能触发所谓的“攻击”。换句话说,只要你不让AI去查看陌生人发来的邮件,这个漏洞根本伤不着你。而且,豆包手机助手那边一得知这个情况,马上就升级了防护,把风险降到了最低。
有人可能会说,不管怎样,曝光漏洞就是监督,总比让企业捂着强。这话听着有点道理,但得掰扯清楚:正当的监督和恶意的“抢发”漏洞,完全是两码事。
为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,2021年,工业和信息化部、国家互联网信息办公室、公安部发布了《网络产品安全漏洞管理规定》。其中规定:鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞;不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
啥意思呢?就是你发现漏洞后,正确的做法是:先告诉厂商,提供详细的技术细节,帮人家把问题找出来、修好。等厂商的补丁打上了,风险解除了,大家再一起把这事儿公开,告诉大家怎么防范。
这样做,既解决了问题,又不会让普通用户心里发慌,更重要的是,不会给那些等着“捡漏”的黑客递刀子。
漏洞信息就像一把锁的图纸。把图纸到处贴,普通老百姓看不懂,也不懂怎么加固,但那些别有用心的“小偷”,就能拿着图纸,研究怎么最快地把锁撬开。到头来,吃亏的还是咱们这些普通用户。
说白了,任何软件、任何系统,都不敢拍胸脯说绝对没有漏洞,iPhone每次系统更新都要打很多安全补丁。这就像咱们家里的电器、开的车,偶尔出点小毛病,太正常了。
关键是,发现毛病后,是走正规渠道去修,还是拿着喇叭满大街喊“这牌子有质量问题,大家别买了”,这性质能一样吗?
这里头还有一个更深的背景。豆包手机助手的一些功能,属于现在最火的AI技术在终端上的应用。大家都知道,新技术、新产品,都需要一个不断打磨、逐渐完善的过程。
在测试阶段,发现一些可以优化的地方,本身就是研发的一部分。可有些人就抓住了这个,把“正在优化”包装成“重大漏洞”来炒作。这不光是打击了一个产品,更是给整个行业的技术创新泼冷水。
咱们国家一直很重视网络安全,《网络产品安全漏洞管理规定》白纸黑字写得很清楚。把这些规定一对照,所谓的“抢发”漏洞,说白了就是在厂家还没修好、公众还没法防范的时候,就把漏洞给捅出去。这不仅是不守规矩,如果造成严重后果,还可能涉嫌违法。
所以,回到开头那个问题:网络安全漏洞,到底能不能随便公开?答案很明确:不能。
咱们需要的是理性的监督,是能推动行业进步的善意提醒,而不是那种为了流量而搞的炒作。别让“传播手机助手有漏洞”这种做法,反而成了网络信息管理的一个“新漏洞”。
