風險可量化、治理可協同：APP 分級指南重塑移動安全新秩序

開發者守住源頭、平臺嚴控流通、終端共同筑牢堡壘 。。

作 者 丨 宿藝

編 輯 丨 子淇

移動互聯網時代，用戶在“便捷”與“安全”之間，需要一個盡可能大的“重疊區”。

根據 QuestMobile 數據：截至 2025 年 5 月，移動互聯網月活躍用戶規模提升至 12.62 億，同比增長了 2.2%。更重要的是，全網月人均使用時長同比增長了 8%，達到了 178.9 小時。

人們對 APP（包括小程序）的依賴不僅體現在時間上，還體現在全方位的依賴上，從衣食住行到辦公、娛樂，全部都在 APP 上實現。

海量的 APP，可以是方便當代人暢游移動互聯網的工具，可以是提高工作效率的生產力工具，但同時部分 APP 也正在成為“風險的載體”。一次不經意的安裝，一次稀松平常的升級，一次簡單權限許可，都有可能給安全留下“隱患”。

近日，工信部信通院發布《移動互聯網應用程序（APP）風險分類分級指南》（以下簡稱《指南》），相當于為行業畫了一張“風險導航圖”，給行業帶來三方面的積極影響：一是給出風險趨勢警示，二是給出安全治理標尺，三是促進行業共治。

硬幣兩面，風險與便利如影隨形

中國電信發布的《2024 年全國移動應用安全觀測報告》顯示，2024 年，全國Android 應用總量達 476 萬款，iOS應用 319 萬款，微信小程序和公眾號總量突破 988 萬。其中 76.2% 的 Android 應用存在高危漏洞，更令人擔憂的是，下載量越小的應用，高危漏洞比例反而更高（72%）。

用戶感受最多的就是隱私安全問題。當打開一個 APP 時，它往往會要求網絡授權、位置授權、攝像頭授權、麥克風授權甚至是短信的讀取權限。不同意， APP 無法使用，一旦同意，就有可能出現個人信息被非法收集、濫用、泄露、篡改或不當處理的潛在威脅，甚至引發財產損失或身份盜用等問題。此外，APP通訊錄授權，則很可能泄露個人社交圖譜，危害親友的個人信息，為營銷騷擾、電詐提供便利。至于說攝像頭、麥克風授權，則有可能讓 APP 化身“監聽器”。

還有一類 APP 存在主動性、針對性較強的惡意行為風險。用戶下載該 APP 時，手機里的資料在悄無聲息下被惡意應用開發者輕松獲取，一旦用戶有不當社交行為，或資料中有敏感的信息，都會被 APP 開發者當作把柄，并加以勒索。有的則是最初下載的 APP 沒有問題，但是其開發者利用熱更新篡改軟件，繞開審核，對用戶實施惡意侵害。

針對財產的安全風險也是當下的重災區，除了最常見的自動續費、誘導扣費，還有誘導消費、虛假網賺、網絡賭博等風險。最近比較頻發的一類，是盜用國家機構或知名企業名稱，利用高收益誘導用戶投資或充值，真是令人防不勝防。

針對安全風險，主管部門持續推動依法治理、專項治理、科技治理、系統治理，并取得了一定的成果。根據官方公開數據整理，自 2019 年至 2025 年上半年，工信部關于侵害用戶權益行為的 APP（SDK）通報的數量達 3136 個，下架的數量為 646 個。

同時監管部門也在實時發現問題 APP，從其 2025 年上半年通報 APP 類型分布，問題主要出現在實用工具、網絡游戲、學習教育和本地生活等類型的 APP 和 SDK （軟件開發工具包）。同時，也涉及到了今年比較火爆的 AIGC 應用。

雖然治理不斷，但硬幣的兩面依然與日俱增。

APP 數量增長的同時，小程序、快應用、H5 頁面、AI Agent 等新形態不斷涌現，用戶獲取服務更便捷，獲得的服務內容也更豐富。

但同時惡意開發者利用“熱更新”“云控”等技術，繞開審查、逃避監管，使得安全的風險防控難度大大提升。顯然，風險防控需要更高效的技術手段與行業共治。

有據可防：給行業一把“安全隱患標尺”

隨著新的應用形態、AI 技術的發展，安全隱患也在不斷“變異”，新情況頻發。有效治理的前提，不僅要深刻了解當下的風險，還要根據行業發展趨勢對未來的可能性做出精準的洞察。

《指南》認為，違規行為正在呈現隱匿性、多變性、廣泛性的特征，引發一系列亟待解決的難題。

首先，新形態多樣化，追責難。

小程序、快應用、Hybrid App 等，因為更便捷普遍受到用戶喜愛，發展迅猛。以小程序為例，用戶無需下載可以“直通”服務，開發者的開發時間短、成本低。但小程序也更容易繞開應用平臺和終端的審核，違法小程序有“空”可鉆。此外，小程序主要基于云端開發，服務內容可實時更新，開發者僅需簡單操作即可實現單個小程序的多平臺上線，極大地增加了問題審核和追溯的難度。

其次，技術被惡意使用，防范難。

技術是雙刃劍，在開發者手里就是為用戶創造價值，在惡人手中就變成了犯罪的武器。一些 APP 通常是利用常規服務欺騙應用商店以達到正常上架的目的，在用戶下載后通過熱更新環節，以非法內容替換原有服務，通過越權、漏洞利用等方式進行安全攻擊，危害用戶財產和隱私安全，讓用戶防不勝防。近兩年這樣的案例越來越多。

第三，AI 加速前行，新問題屢現。

2024 年被稱為 AI 應用落地年。AI 在全方位、深層次、多維度重塑移動互聯網應用的開發邏輯和服務模式的同時，也帶來多重新風險：比如數據來源不實，大量虛假新聞被制造，誤導性信息沖擊輿論場；再比如利用 AI 技術輕松可以實時換臉，或者偽造聲音、視頻，實施敲詐勒索。

AI 創新帶來的有技術問題，有模式問題，也有價值觀問題，風險種類多且復雜度高，需要更有前瞻性地制定治理方案。

根據當前風險行為的特征不同，并結合當前階段風險 APP 治理的重點，《指南》把 APP 風險拆成 6 大類、4 個等級。

其中 6 大類包括隱私安全、惡意行為、服務異常、財產安全、內容安全、未成年人安全，在二級目錄中給出更為具體的 45 項，并且列出了違規場景。一級類目按風險性質劃分，二級類目聚焦行為特征，邏輯層次清晰，覆蓋全面且一目了然，增強了可操作性。

根據影響對象和損害程度將風險分為四級——低、中、高、極高。從損害對象的維度來看，國家安全>公共利益>系統安全>用戶權益。從損害程度，按波及范圍（少量/一定量/大量群體）和后果嚴重性分級。同時遵循就高原則，當多重風險并存時，按最高風險定級。

《指南》還有一個特征，就是動態適應性。一方面，納入前沿風險，包括AIGC （如模型幻覺、數據濫用）、熱更新、云控、小程序責任模糊等新形態，適用性更強。二是開放調整機制，明確分類需隨政策、技術發展動態更新，確保《指南》的與時俱進。

這份《指南》的核心價值在于為移動互聯網生態提供了一把隱患可量化、風險可分級、治理可對標的“安全標尺”。它終結了風險認知的模糊地帶，統一度量衡、厘清邊界線，讓安全隱患變得有據可循（標準清晰）、有級可量（風險分級）、有標可防（分級施策），為 APP 開發者、分發平臺、終端廠商乃至監管機構提供了共同的“風險語言”和行動標尺，極大提升了全鏈條風險識別、評估與協同治理的精準性和效率。

行業共治：從“單點攔截”到“全鏈協同”

透過《指南》的分類，我們看到移動互聯網風險的多樣性、復雜性、善變性，這已遠超單一主體的防控能力。比如當惡意開發者用“熱更新繞過審核”、以 AI 批量生成詐騙應用出現時，碎片化的防御體系必然失效。只有從“單點攔截”向“全鏈協同”，構筑起開發運營、應用分發、終端運行三道防線，通過分類分級厘清責任、分級響應實現協同，才能真正為用戶的數字生活保駕護航。

開發者要做好合規設計的“源頭保障”

開發階段嵌入合規設計，如對 AIGC 功能明示數據用途，禁用熱更新篡改代碼。同時，參照《指南》風險類目自查，比如金融類 APP 參照“財產安全風險”條目。

應用分發平臺履行管理職責夯實安全根基

分發平臺加強 APP 上架審核和在架巡查，可以基于分級結果采取差異化管控，比如對于高風險、極高風險堅決“不予上架”；在上架審核中，要特別識別熱更新馬甲包、山寨 APP 等高風險形態；用 AI 模型掃描云控行為對“中風險” APP 限期整改；對多次違規開發者凍結賬戶，實施信用懲戒等等。

終端廠商為用戶建立“安全防線”

現在市場上幾大頭部手機廠商都將安全問題置于首位，建立了極其嚴格的風險防控體系。

比如 OPPO 已上線端云協同的 APP 風險檢測及預警能力，圍繞 APP 上架、下架、終端側下載、安裝、啟動等全周期，進行針對性管控。官方數據顯示，目前 OPPO 軟件商店日均攔截惡意資源下載達 260 萬次，安裝攔截 300 萬次，運行攔截1500萬次。其他手機廠商也在用戶權益保護和風險治理方面持續發力，據了解 24 年 vivo 手機 APP 總體負反饋率較同期下降了 37%，其中盜版侵權類負反饋下降 14%，惡意扣費類負反饋下降 14%，功能兼容類負反饋下降 44%。

當然，在這三重防護之外，用戶的個人防控意識與行動也不可或缺。盡量在正規應用商店下載、使用 APP，繞開來路不明的安裝包。當 APP 索要授權時，一定要仔細查看授權是否合理，不必要的不授權，能“僅這一次”就選擇一次，減少風險發生的幾率。

《指南》在給標尺、給路徑的基礎上，還從戰略層面給出建議：行業共治。也就是說從個人用戶到開發者，從平臺到終端廠商，應該建立起一套高效的協同機制，信息共享、能力互補、響應聯動。比如開發者公開 SDK 權限聲明，為終端廠商權限管控提供依據；平臺共享惡意樣本庫（如涉賭 APP 特征），賦能終端廠商預裝防護規則。

這其中值得一提的是安天移動，在三個層面為行業輸出能力。第一層是憑借技術創新，2024 年全年累計告警應用風險 33.6 億次，檢出風險應用 3167 萬款，攔截病毒威脅 12.6 億次，防護用戶超 3.2 億。第二層積極推動行業建立健全安全技術規范，牽頭編制了《App 生命周期安全管理指南》國家標準，把自己的經驗分享給行業。第三，相繼與榮耀等手機廠商伙伴通過聯合實驗室、專項合作等方式深入共建風險協同治理能力，通過技術協同實現 1+1>2 的防范能力，給行業共治打了個樣兒。

《壹觀察》評論

從移動互聯網到萬物互聯時代，用戶對不同場景下服務需求的連貫性與便捷性出現“躍遷式”提升，同時對信息安全與隱私保護也帶來了前所未有的巨大挑戰。這其實，也是工信部信通院發布聯合產業各方發布《移動互聯網應用程序（APP）風險分類分級指南》的重要原因。

中國是最大的移動互聯網市場，也是全球移動互聯和 AI 智能革新的“兩極”之一。唯有建立行業共識、共治、共生的安全體系，才是我們整個產業完成“新質生產力”轉型升級的“最優選”之一。而《指南》通過分類分級將模糊的“安全責任”轉化為可量化、可分割、可追溯的精準責任矩陣：開發者守住源頭、平臺嚴控流通、終端筑牢堡壘。唯有如此，方能在移動互聯網的“漏洞攻防戰”中構建動態免疫網絡與長期健康發展。

「壹觀察」創始人宿藝

原搜狐科技通信主編

今日頭條、騰訊新聞、搜狐搜索「壹觀察」

百家號、微博、抖音搜索「宿藝」關注更多

丨智能硬件丨通信丨新零售丨人工智能丨

丨智聯網汽車丨智能家居丨