2025年度vivo開發(fā)者大會于10月10日成功舉辦。此次大會以“同心?同行”為主題，開設(shè)主會場及11大分會場。其中，在安全與隱私分會上，vivo聚焦為用戶打造看得見、信得過、有記憶點的安全體驗，向在場開發(fā)者及合作伙伴展示了過去一年vivo在安全領(lǐng)域的最新產(chǎn)品和技術(shù)創(chuàng)新成果，助力開發(fā)者降低安全風(fēng)險，共同構(gòu)建更加可信的生態(tài)系統(tǒng)。

看得見信得過有記憶點的安全體驗

從2021年開始，vivo便建立了隱私保護三原則和千鏡安全架構(gòu)持續(xù)解決用戶痛點，通過與開發(fā)者共建可信生態(tài)取得了不錯的成績和口碑。然而，“安全”作為用戶比較難感知的隱性體驗，往往無法被用戶感受到，因此，讓用戶在用機過程中看得見安全功能、信得過基礎(chǔ)服務(wù)，甚至有一些獨特的安全功能記憶點，就顯得十分有必要。

vivo安全規(guī)劃負(fù)責(zé)人 鄒力佳

vivo安全規(guī)劃負(fù)責(zé)人鄒力佳指出，vivo希望通過構(gòu)建看得見的可信OS，在權(quán)限安全、應(yīng)用安全和數(shù)據(jù)安全三大場景下，把便捷安全的體驗還給用戶；通過信得過的AI系統(tǒng)級安全，讓用戶能夠無憂享受AI帶來的便捷與樂趣；通過可信印記能力，為用戶提供新的影像安全解決方案。不僅如此，vivo還持續(xù)和開發(fā)者共創(chuàng)可信生態(tài)，向著讓用戶更有感知的方向繼續(xù)精進(jìn)。

三大場景協(xié)同升級，共筑安全隱私新生態(tài)

聚焦權(quán)限安全場景，vivo安全產(chǎn)品經(jīng)理黃偉濤分享了vivo隱私權(quán)限體系的最新實踐。 他強調(diào)，權(quán)限作為應(yīng)用獲取用戶數(shù)據(jù)的“管控閥門”迎來了新挑戰(zhàn)——隱私安全與便捷體驗的雙向博弈。為了尋求最優(yōu)解，vivo 隱私權(quán)限體系通過“權(quán)限審核 + 系統(tǒng)控件”，嚴(yán)審了 19 項應(yīng)用權(quán)限的合理性，對個人數(shù)據(jù)訪問、個人設(shè)備權(quán)限受限開放，通過系統(tǒng)控件精準(zhǔn)守護數(shù)據(jù)，限制聯(lián)系人、照片視頻等 5 類高敏感數(shù)據(jù)的權(quán)限開放，最終實現(xiàn)了“應(yīng)用便捷體驗”與 “用戶數(shù)據(jù)安全”的平衡。

vivo安全產(chǎn)品經(jīng)理 黃偉濤

針對應(yīng)用安全場景，vivo應(yīng)用安全總監(jiān)錢鈺指出，風(fēng)險應(yīng)用對傳統(tǒng)引擎的挑戰(zhàn)越來越大。以某一竊取用戶隱私的應(yīng)用為例，在共捕獲到349個同名的變種應(yīng)用中，傳統(tǒng)病毒引擎只檢出了15例，檢出率僅為4.3%。不僅如此，當(dāng)前風(fēng)險變種具有靜態(tài)特征變化大、行為特征變化小、傳播更靈活三大典型特點。為此，vivo在應(yīng)用風(fēng)險檢測方面進(jìn)行了全面升級，首次基于AI構(gòu)建了“無樣本依賴型”變種識別技術(shù)體系，重點覆蓋了包括詐騙應(yīng)用識別、利用無障礙類、后臺彈廣告類，風(fēng)險應(yīng)用識別等五類場景。檢測模型自上線以來，已覆蓋用戶設(shè)備超1億，日均檢出超4萬，累計識別惡意應(yīng)用變種超470萬次，識別能力提升到90%以上的同時，未發(fā)生過一例誤報。

vivo應(yīng)用安全總監(jiān) 錢鈺

針對數(shù)據(jù)安全場景，vivo安全研究專家姚平表示，雖然主流的終端OS已落地了很多基線隱私保護技術(shù)，但還遠(yuǎn)遠(yuǎn)不夠。vivo近年來一直在探索如何使用端側(cè)隱私增強技術(shù)PET更好地保護用戶隱私。所謂PET，是在基線隱私保護技術(shù)之上，加入本地差分隱私、橫向聯(lián)邦學(xué)習(xí)、語義脫敏等技術(shù)集合，讓用戶的數(shù)據(jù)更難被竊取，防止被追蹤，同時能提升數(shù)據(jù)價值，使得個人終端更智能、更好用。同時，他還指出權(quán)限、應(yīng)用、數(shù)據(jù)安全并不孤立，未來vivo將繼續(xù)通過三大場景相互協(xié)同的提升，筑牢安全隱私新生態(tài)。

vivo安全研究專家 姚平

守護可信智能體，AI安全新范式

隨著AI及智能體的快速發(fā)展，在智能體場景中，來自操作系統(tǒng)和大模型的攻擊，對智能體的操作參與減少，用戶數(shù)據(jù)使用并上云處理時的泄漏風(fēng)險，已成為目前用戶所需面對的三類主要風(fēng)險。vivo安全研究專家蘇濤指出，為了更好地應(yīng)對上述風(fēng)險，必須做好兩方面工作——既要守住用戶數(shù)據(jù)，構(gòu)建從數(shù)據(jù)感知到執(zhí)行過程的全流程隱私保護機制；又要管住智能體，防護來自系統(tǒng)與大模型的攻擊，提升智能體的安全執(zhí)行能力。

vivo安全研究專家 蘇濤

為此，vivo在芯片層，重點提升了硬件可信根能力；在手機端，加強了對于智能體的防攻擊能力；在云端，提升了云端機密計算和遠(yuǎn)程證明的能力，并且在此基礎(chǔ)上，提升了手機端到云端建立可信安全通道的能力。總體而言，在CHADME六維一體AI安全范式的指導(dǎo)下，vivo在芯、端和云三個方面，不斷完善著千鏡安全架構(gòu)中的安全技術(shù)能力，全方面提升了智能體全生命周期的安全性。

大模型治理的可信實踐

不僅如此，vivo也在模型和人員管理方面積極布局落子，vivo Al安全總監(jiān)劉光明向與會者分享了大模型治理中的可信實踐。他指出，GenAI時代的隱私安全面臨三大風(fēng)險與挑戰(zhàn)——大模型生命周期風(fēng)險、產(chǎn)品開發(fā)風(fēng)險和產(chǎn)品運營風(fēng)險。企業(yè)需要把數(shù)據(jù)安全、隱私保護與守法合規(guī)作為研發(fā)經(jīng)營活動中絕對不可以觸碰的紅線和基本底線。

會上，他從端側(cè)輕量級的AI防火墻、CICD 供應(yīng)鏈安全、建立針對 Agent 的 Red Team 評估體系、AI內(nèi)容標(biāo)識安全、模型體驗五方面分享了vivo在可信AI治理的落地實踐。同時，他指出vivo積極參與行業(yè)AIGC安全標(biāo)準(zhǔn)體系建設(shè)，持續(xù)為行業(yè)標(biāo)準(zhǔn)化貢獻(xiàn)力量。vivo主導(dǎo)開展多個標(biāo)準(zhǔn)項目的研究，其中行業(yè)首個終端側(cè)大模型安全的標(biāo)準(zhǔn)——《移動智能終端端側(cè)大模型安全實施指南》，已正式在電信終端產(chǎn)業(yè)協(xié)會發(fā)布。vivo將自身在端側(cè)大模型研發(fā)中 “埋頭打磨” 的技術(shù)積累與安全方案，轉(zhuǎn)化為行業(yè)首份可參考的安全答卷，推動自研實踐升維為行業(yè)共識。

構(gòu)建“數(shù)字身份證”，打造內(nèi)容的可信印記

眾所周知，生成式AI提高了工作效率，豐富了人們的生活。與此同時，它也為藝術(shù)作品帶來了顛覆性的影響，更讓全球面臨著虛假信息的挑戰(zhàn)。迎合了大眾獵奇心理的虛假信息充滿噱頭，更容易廣泛傳播，對于企業(yè)的危害遠(yuǎn)遠(yuǎn)不止公關(guān)危機，更是嚴(yán)重的系統(tǒng)性風(fēng)險。相關(guān)案例顯示，某公司因偽造視頻的損失高達(dá)數(shù)千萬美元。

為了解決媒體內(nèi)容真實性的問題，vivo引入了可信印記技術(shù)。vivo首席安全研究專家胡志遠(yuǎn)介紹道，與數(shù)字版權(quán)只服務(wù)于版權(quán)方不同，可信印記不僅服務(wù)創(chuàng)作者，還服務(wù)傳播平臺和普通用戶。它就像媒體內(nèi)容的“數(shù)字身份證”，記錄了內(nèi)容的來源和編輯歷史，支持在創(chuàng)作和傳播過程中的追溯和驗真，整個過程公開透明，讓用戶能夠判斷內(nèi)容是否真實可信。

千鏡工具智能體，重構(gòu)安全生產(chǎn)力

回顧安全工具的演進(jìn)之路不難發(fā)現(xiàn)，隨著成熟度的增加，安全工具含AI量逐年增大，也越來越智能。vivo安全工具高級經(jīng)理宣偉指出：“今年我們進(jìn)行了策略調(diào)整，即以AI為中心，工具為輔助，打破傳統(tǒng)的工具架構(gòu)，從而打造新形態(tài)的安全工具——千鏡SMART?！?/p>

千鏡SMART具有多智能體協(xié)作、智能編排和安全護欄三大核心功能。多智能體協(xié)作方式下，意圖、知識、檢測、運營以及報告五大智能體，通過類PDCA的方式進(jìn)行協(xié)作，可實現(xiàn)AI 規(guī)劃檢測、解析報告、安全運營等；智能編排可以更好平衡海量tools信息和大模型能力；三層安全護欄，讓用戶的操作更放心。對于千鏡SMART的效果，宣偉直言：“一句話檢測，一句話運營，一句話報告的方式，讓它使用起來就像聊天一樣簡單?！?/p>

此外，安勢信息安全研究員金文會也向與會者分享了《AI+時代，供應(yīng)鏈安全廠商的實踐》。借助安勢信息四大核心能力，即AI+知識圖譜構(gòu)建開源軟件基因圖譜，確保組件溯源準(zhǔn)確；利用代碼基因圖譜推理關(guān)聯(lián)漏洞，提升漏洞覆蓋率和準(zhǔn)確率；漏洞-組件/版本-任務(wù)-項目整條鏈路反溯資產(chǎn)；AI驅(qū)動的漏洞提前感知與分析模塊，覆蓋數(shù)據(jù)、模型、代碼全鏈條風(fēng)險，企業(yè)可更好地解決供應(yīng)鏈的安全問題，適應(yīng)AI時代。

業(yè)務(wù)護盾——攻防對抗視角下的風(fēng)險阻斷

當(dāng)下，黑灰產(chǎn)、業(yè)務(wù)侵蝕、惡意軟件、社工 / 黑客攻擊是造成企業(yè)與用戶“雙面?zhèn)Α钡淖锟準(zhǔn)?。面對這些挑戰(zhàn)，vivo展開了一系列的攻防戰(zhàn)。vivo安全攻防實驗室黑灰產(chǎn)對抗負(fù)責(zé)人朱遠(yuǎn)鵬介紹，首先是動態(tài)博弈，一方面，攻擊者持續(xù)尋找新利益點、提高攻擊隱蔽性；一方面，終端廠商則通過加深攻擊理解、主動挖掘攻擊渠道、沉淀對抗能力，實現(xiàn)攻防制衡。第二，聚焦未知領(lǐng)域，進(jìn)行行業(yè)聯(lián)合共創(chuàng)，從而優(yōu)化防御效果。第三，通過“實時攔截當(dāng)下威脅 + 策略迭代防御未來攻擊”，深化技術(shù)縱深與生態(tài)協(xié)同，最終在移動終端黑灰產(chǎn)對抗中占據(jù)主動，守護業(yè)務(wù)和用戶安全。

在聯(lián)合共創(chuàng)方面，威脅獵人情報運營總監(jiān)郭良超則指出，通過雙方緊密合作，威脅獵人與vivo共建了端側(cè)威脅捕獲能力，并取得了良好效果，近一年共捕獲 95,703 件端側(cè)攻擊風(fēng)險，涵蓋系統(tǒng)修改、權(quán)限破解、硬件操作等。未來，雙方將繼續(xù)致力于共建終端側(cè)威脅感知與阻斷體系，讓捕獲場景更豐富、威脅研判更精準(zhǔn)、黑灰產(chǎn)挖掘更深入。

一路走來，vivo用看得見的行動，為用戶帶來了持續(xù)提升的安全體驗。未來，vivo將繼續(xù)攜手行業(yè)伙伴，致力于構(gòu)建更加透明、可信的內(nèi)容生態(tài)，讓廣大用戶、開發(fā)者和合作伙伴都能放心、信賴。