鸿蒙智能安全白皮书 V3.2

鸿蒙智能安全白皮书第1章终端AI的发展趋势与风险挑战1.1.智能终端的业务发展趋势061.2.终端AI的典型的安全风险和挑战081.2.1.管理层面风险与挑战081.2.2.技术层面风险与挑战09第2章华为终端AI安全的治理原则和导向第3章终端AI的安全防护机制3.1.Harmony0s智能安全设计理念3.2.Harmony0s智能纵深防御安全架构3.3.AI安全底座3.3.1.身份与访问控制3.3.2.数据隐私保护3.3.3.隐私/机密计算3.4.AI安全护栏3.4.1.数据安全3.4.2.模型安全3.4.3.算力安全3.4.4.应用安全3.4.5.动态自适应安全3.5.场景化安全实践283.5.1.小艺对话283.5.2.图库智慧分析293.5.3.AI编创293.5.4.小艺智能体303.5.5.小艺建议363.5.6.小艺搜索363.5.7.小艺伴随怯AI373.5.8.控件AI化393.5.9.星盾防诈403.5.10.智能体支付413.5.11.小艺体验改进42第4章标准与认证体系4.1.AI安全标准体系建设4.2.华为标准践行与成果第5章展望:迈向Aı的安全未来,共建可信智能终端生态44445.1.内生安全5.1.内生安全5.2.自适应主动安全5.3.可验证安全5.4.协同安全5.5.人类参与的终极决策安全4949494949-3-人工智能发展战略研究院执行院长随着人工智能技术快速演进，依托操作系统、终力深度融合的新型智能基础设施，人机协同、端云协同、万物智联正加速走向现实，推动智能产业进入全新的发展阶段。AI智能体正深度慧城市、车载终端等全场景领域，成为数字经济创新升级的核心引擎。但技术快速迭代的背后，新型安全风险同步滋生蔓延，提示词注入、对抗样本干扰、权限越界调用、数据隐私泄露、跨设备协同漏洞等智能化安全威胁层出不穷，安全是人的基本需要，是数字智能产业的基石与底线，更是AIAI智能体时代的安全，是贯穿硬件底座、模型算法、数据流转、应用运行、生态协同的全链条安全，兼具技术复杂性、场景多元性和风险动态性。如何构建适配智能体运行逻辑的主动安全防御体系，平衡技术创新与安全可控、开放生态与风险规制、产业提速与合规发展，是全球学术界、产业界共同面临的重大华为深耕智能终端操作系统与AI安全领域，依托模型安全、算力安全、应用安全、动态自适应安全等五道安全护栏，形成覆盖从AI沙箱隔离、权限精细化管控，到智能威胁架构理念与实践经验，阐释了智能体的安全防护逻辑、核心技术路径与生态治理框架。白皮书既聚焦底层安全根技术创新，又面向产业生态给出了标准化、特别是，华为以白皮书的形式，将安全问题分析、应对策略、技术方案和实践透明地展现出来，对于增进行业共识和用户信任、促进行业合作和用户参与，AI智能体产业处于高速迭代期，安全攻防博弈将长期存在，安全技术创新永无止境。期待华为持续深耕智能安全根技术，持续迭代安全防护体系，深化共建产业安全标准、共享技术创新成果，深化安全技术合作，共同推进人工智当前，人工智能技术逐渐融入终端设备、深入物理世界，其交互模式从被动响应转向部分场景的主动决策，数据流动性与生态复杂度呈指数级增长。转变带来了前所未有的效率提升的同时，也引发了深刻的安全隐忧。随着人工智能技术从相对初步的辅助工具向智能体的生态跃迁，安全已从以往被部分观点认为的“附加项”演变为“核心基建”与“必选项”。AI安全问题从传统的算法偏差、数据泄露，扩展到智能体自主行为失控、多模态交互风险等全新维度。传统安全边界逐渐失效，产业面临“技术合规”与“生态安全”的双重挑战，行业亦亟需从“被动防御”转向“主动防护”。中国人民大学高瓴人工智能学院吴玉章讲席教授国家人工智能标准化总体组人工智能治理专题组联合组长智能体自主决策、跨域协同、全链路执行的特点，其高权限操作、动态系统性、互联网级别的智能化威胁。AI驱动攻击更加自动化、精准化和隐蔽化以致于传统补丁防御难以应对；智能体为完成任务易自动扩张权限，造成越权、数据泄露与系统劫持；跨域运行会导致风险快速传导，引发全局安全问题；同时第三方插件、开源模型等供应链隐患缺乏适当监管，也极易成为攻击入口。因此，安全必须内嵌于系统底层、贯穿全链路。从内核构建可信执行、硬件隔离、权限管控才能从源头防控风险中国人民大学高瓴人工智能学院吴玉章讲席教授国家人工智能标准化总体组人工智能治理专题组联合组长鸿蒙以全场景安全为底层基因为智能体生态构建“安全基座”，将星盾安全架构与系统级AI深度融合，构建从芯片、内核、框架到应用、网络、云服务的纵深防御体系。坚持本地优先、数据最小化、用户可控的核心原则，以端侧私有计算、全生命周期加密、智能防窥防诈、统一可信身份保障智能体自主决策。鸿蒙为智能体生态铺设“安全高速公路”，通过开放安全能力助力开发者在保障安全的前提下快速构建高价值的智能应用，共同探索万物智联的商业新范式，如制定GUIAgent操控等前沿应用的意图校验与行为回溯机制，最大力度确保AI操控在合规边界内运行。我们期待，鸿蒙持续优化底层安全架构，精进全链路防护技术，以安全技术赋能智能应用，推动智能技术稳健创新，打造行业领先的安全技术应用模式。通过行业多方对生态安全的协同共建，缓释社会各界对智能体自主行为失控的忧虑，为行业提供可参考、可度量的最佳实践与合规标杆。-4--5-华为终端BGCEO智能体技术正迎来新一轮深刻变革，AI智能应用全面融入大众生活与各行各业，真正高效、便捷的万物智联时代已然到来。跨终端、跨设备、跨场景的协同模式下，安全与可信是用户体验的前提，更是智能服务的核心底色。AI万物智联加速演进，智能体成为人机协同、跨设备交互、智能服务落地的核心载体，且贯穿指令执行、资源调用、数据交互、场景服务全流程，一旦存在身份伪造、权限失控、行为不可溯源、数据泄露等安全隐患，将直接威胁终端设备安全、用户隐私数据与整体生态秩序。因此，筑牢智能体安全防线、建立标准化安全管控体系，是规避智联安全风险、推动AI终端生态健康可持续发展的核心前提与必然要求。华为终端始终将安全视为智能根基与发展命脉，我们坚持将智能体安全、可靠、可信作为发展的底线要求，贯穿智能体技术研发、应用部署与推广的全过程。通过强化软硬芯云全栈安全能力的垂直整合，安全基因已根植于鸿蒙操作系统，铸就智能体安全防线，为万物智联时代提供坚实屏障。自HarmonyOS5发布以来，我们以星盾安全架构为核心，构建从芯片到云端、从内核到应用的纵深防御体系，实现智能体全生命周期安全可控，把数字安全与隐私保护提升至全新高度。在智能体身份、权限、溯源、数据等四大安全重点领域，我们搭建标准化、可信统一的智能体身份认证体系，杜绝虚假身份、支持智能体权限分级授权、按需申领、实时回收与越权拦截；构建全链路、全维度的行为溯源体系，覆盖智能体指令执行、技能调用、交互访问等全流程操作，实现风险行为可追溯、攻击链路可复盘、安全责任可界定；并且建立数据分级访问、脱敏流转、闭环销毁机制，兼顾数据高效流通与隐私安全，持续带动AI智能体安全产业规范化、规模化、高质量发展。前路漫漫，唯有笃行；道阻且长，行则将至。智能时代的征程，充满机遇也布满挑战，我们将始终坚守初心，深耕技术创新，严守安全底线。我们愿与所有伙伴并肩前行，持续打磨安全可信的鸿蒙生态智能能力，为用户带来更安心、更优质的全场景智能体验，为行业高质量发展注入可靠动力，实现智能更安全，体验更极致，未来更可期。终端AI的01 1.1智能终端的业务发展趋势·重塑人机交互的核心驱动力。业界普遍认为，当前阶段是端侧AI普及的关键时刻。AI手机、AIPC的渗透率已占据市场主导地位，终端AI进入规模化落地与生态构建的关键阶段，在算力、硬件、场景等多维度实现全面突破，持续释放产业价值。彻底改变了传统AI过度依赖云端算力的局限。数据显示，全球端侧AI设备全年出货量呈现爆发式增长，中国市场作为全球端侧AI发展的核心引擎，贡献了巨大份额。以消费级终端为核心突破口，AI手机出货量和渗透率大幅提升，首次超越传统非AI手机；AIPC在整体PC市场波动中逆势上扬，成为拉动行业增长的绝对主力。同时，端侧算力持续升级，NPU算力大幅提升，满足相关认证标准，大参数模型已可在终端流畅运行，形成了“端侧处理核心任务、云端增强复杂需求”的分层架构，有力支撑了自动驾驶、工业控制等毫秒级响应场景的落地。-6--7-2）硬件重构与生态爆发，AI成为终端标配终端AI的规模化发展推动硬件底层全面革新，NPU、专用AI加速芯片已成为中高端终端设备的核心配置。从市场规模来看，全球端侧AI硬件市场呈现出长期、快速的增长势头，行业增长潜力巨大。终端形态呈现全场景延伸态势，不再局限于手机、PC，AI眼镜出货量激增；智能家居市场迅速扩大，大模型在智能音箱等设备中的渗透率大幅提升；车载端侧AI芯片单车价值量及高等级自动驾驶渗透率也显著增长，形成了“全场景AI终端”矩阵。软件层面，端侧AI框架与各类操作系统深度协同，实现了“一次训练、多端部署”，大幅降低开发者适配成本，推动端侧AI生态快速完善。3）应用场景从消费级向行业级渗透，价值落地加速终端AI的应用边界持续拓展，从消费端向行业端深度渗透，实现“全民普惠、产业赋能”的双重价值。消费端，终端AI深度融入日常生产生活，办公场景下文档生成效率显著提升，娱乐场景下实现个性化内容推荐，生活服务场景下智能助手更加精准，显著提升了用户体验。行业端，终端AI通过本地数据处理实现合规化落地与降本增效：在金融领域，终端AI风控识别率大幅提升，有效防范风险。此外，随着相关行动计划的推进，新一代智能终端应用普及率将进一步提高，推动终端AI在各行业的规模化应用，加速产业数终端AI作为人工智能走向普惠、融入物理世界的关键路径，已进入规模化落地的爆发期，其发展趋势清晰且不可逆。从端云协同的算力革新，到全场景硬件的生态爆发，再到多行业的场景渗透，终端AI正重构智能终端产业格局，释放巨大产业价值。未来，随着算力优化、生态完善与场景深化，终端AI将进一步融入千行百业，成为推动数字经济高质量发展的核心动力。 1.2终端AI的典型的安全风险和挑战·1.2.1.管理层面风险与挑战国家层面重视每个终端用户的隐私保护，特别是现在移动支付发达的今天，涉及用户资产安全更是重中终端AI在本地处理大量用户数据，包括个人信息、行为习惯、生物特征等敏感内容。企业面临数据分类分级不清、跨境传输合规困难、隐私政策不透明等问题。GDPR、个人信息保护法等法规对数据处理提引发信任危机。利益相关方职责边界不清风险：AI技术创新日新月异，新交互模式、新形态不断地更新，按照技术发展路径，监管政策、法律法规也在不断地更新。终端用户、AI助手、App与新形态的Agent、Skill等职责边界如何划分，用户损失如何避免，如何追责，成了新的命题。-8--9-任何环节的安全漏洞都可能被攻击者利用。第三方组件可能包含恶意代码、后门或隐私收集功能。供应链攻击隐蔽性强、影响范围广，一旦发生难以快速定位和修复。缺乏供应商安全评估机制和持续监控能力是主要运营管理风险：终端AI设备数量庞大、分布广泛，传统集中式安全管理模式难以适用。设备丢失或被盗可能导致数据泄露，远程管理能力不足影响安全策略的统一执行。安全事件响应滞后，缺乏有效的终端态势感知和威胁情报共享机制。人员安全意识薄弱，操作不规范也可能引入安全风险。1.2.2.技术层面风险与挑战AI有巨大的潜力改变人类的工作和生活，但同样存在巨大的安全风险和挑战。1.技术内生性与数据管控缺陷(1)算法内生缺陷风险AI算法本身存在固有缺陷，可能导致不可预测的行为。神经网络的黑箱特性使其决策过程缺乏可解释性，难以追溯错误原因。算法在边界条件下可能产生异常输出，鲁棒性不足。模型泛化能力有限，在训练数据分布外的场景表现不可控。(2)数据采集与隐私风险AI训练需要海量数据，数据采集过程可能侵犯用户隐私。未经授权收集个人信息，违反数据保护法规。训练数据中可能包含身份信息、医疗记录、财务数据等敏感内容，一旦泄露将造成严重后果。数据标注环节存在信息泄露风险，标注人员可能接触敏感(3)数据存储与传输风险训练数据在存储过程中面临未授权访问、数据泄露风险。数据在云端与边缘设备间传输时，可能被截获或篡改。数据备份和归档管理不当，可能导致历史数据泄露。多租户环境下，数据隔离不充分可能引发跨用户数据访问问题。(4)数据生命周期管理风险数据从采集、存储、使用到销毁的全生命周期缺乏有效管控。数据保留期限不明确，过期数据未及时清理。数据共享和转移缺乏审计追踪，难以追溯数据流向。数据销毁不彻底，残留数据可能被恢复利用。-10--11-2.基础设施、数据、模型与应用服务风险(1)基础设施安全风险1)算力平台风险AI训练和推理依赖大规模算力集群，硬件故障可能导致服务中断。算力资源调度系统存在漏洞，可能被利用进行资源劫持或拒绝服务攻击。2)网络通信风险分布式训练涉及大量节点间通信，网络传输可能被窃听或劫持。模型参数、梯度信息在传输过程中可能泄露敏感数据。API接口暴露在外网，面临DDoS攻击、接口滥用等威胁。内部网络隔离不充分，横向移动攻击可能波及核心AI系统。3)存储系统风险训练数据集、模型文件、检查点等存储在高性能存储系统中，访问控制不当可能导致数据泄露。存储系统漏洞可能被利用提升权限或执行任意代码，存储加密措施不足，数据可能被直4)虚拟化与容器安全风险AI服务广泛采用容器化部署，容器镜像可能包含漏洞或恶意代码。容器逃逸攻击可获取宿5)软件依赖与组件安全风险AI系统依赖大量第三方库、框架及开源组件，存在供应链攻击风险。依赖组件漏洞（如Log4j、OpenSSL漏洞）可能被利用进行远程代码执行或权限提升。依赖组件的安全更新(2)数据模型安全风险1)模型训练风险1)模型训练风险训练数据投毒攻击可在模型中植入后门，使模型在特定输入下产生错误输出。数据偏见可能导致模型产生歧视性决策，影响公平性。训练过程可能泄露训练数据信息，存在成员推断攻击风险。模型训练环境安全防护不足，可能被植入恶意代码或窃取模型参数。2)对抗攻击风险对抗样本攻击通过添加人眼不可见的扰动，欺骗AI模型产生错误输出。攻击者可利用对抗样本绕过安全检测，如人脸识别、恶意软件检测等。黑盒攻击无需了解模型内部结构，仅通过查询即可生成对抗样本。3)模型后门风险攻击者在模型训练阶段植入后门，模型在正常输入下表现正常，但在特定触发条件下执行恶(3)应用服务安全风险 1)与大模型解耦的应用架构与方案风险解耦后各服务组件（如智能体、插件）权限边界模糊，易引发权限失控或恶意指令执行。第三方插件供应链可能被污染，引入隐蔽的后门或恶意代码。此外，若架构层缺乏统一的安全防御机制（如流量监控、访问控制），会形成安全盲区，加剧数据泄露与中间件攻击风险。2)API接口风险AI服务通过API对外提供能力，接口认证机制薄弱可能导致未授权访问。输入验证不充分，恶意输入可能触发异常行为或系统崩溃。API响应可能泄露敏感信息，如模型内部状态、错误详情等，第三方API集成可能引入供应链风险。3)提示注入风险大语言模型面临提示注入攻击，攻击者通过精心构造的输入绕过安全限制。提示注入可导致模型泄露训练数据、执行未授权操作或生成有害内容，越狱攻击可使模型突破预设的行为约束，多轮对话中的上下文注入可操纵模型行为。4)权限与访问控制风险AI应用权限设计不当，可能导致越权访问数据或功能。会话管理漏洞可能导致账户劫持，身份认证机制薄弱，易遭受暴力破解或凭证填充攻击。第三方集成可能引入额外的权限风险，AI5)Agent行为不可控Agent的自主决策可能偏离用户意图（如“幻觉”导致错误操作），且缺乏标准化的合规框架。最终会导致Agent偏离预设功能与用户原始意图，执行违规、高危操作，无法正常完成用户指令，甚至因决策偏差、恶意操控引发安全事故，破坏Agent的可用性与可靠性。-12--13-02随着生成式人工智能与终端设备的深度融合，AI系统正在从传统的软件能力逐步演变为具有自主生成、推理与决策辅助能力的智能系统。与此同时，生成式AI也带来了数据安全、模型滥用、隐私泄露以及算法偏见等新型风险。因此，建立系统化的AI安全治理体系，成为AI技术发展的关键基础。鸿蒙AI安全治理的核心目标，是让安全隐私成为鸿蒙系统的内生属性，贯穿于设计、开发、部署、运营的全生命周期，在保障用户安全隐私的前提下，实现AI技术的可持续发展与规模化应用。治理原则治理原则以人为本安全可控透明可解释保护隐私全生命周期治理可追责数据开发.坚持数据采集“最小必要”原则.敏感数据自动脱敏与去标识化.严格执行数据分级分类管控模型开发.模型训练防投毒.模型能力可控与行为可解释.安全隐私价值观对齐生态安全治理.统一安全标准、上架审核、运行监测及下架机制核心目标:鸿蒙智能内生安全与可持续发展系统运行.动态沙箱与权限治理.Agent安全互联.隐私计算环境持续运维与更新.态势感知平台.AI安全响应机制.模型更新机制分层责任体系.明确系统、AI智能体、三方工具责任边界责任可追溯.日志记录,全链路追溯能力产品生命周期组织与生态1.以人为本AI应服务于用户，而非替代用户决策，AI发展应符合人类的价值观和伦理道德。1)禁止开发与应用危害人身安全、侵犯基本人权的AI系统。2)AI系统设计应优先保障用户权益，尊重用户自主选择权。3)建立人机协作机制，确保关键决策环节保留人类监督与干预能力。4)AI服务应具备可中断、可接管的安全兜底机制。2.安全可控AI系统不仅要在预期设计范围内可靠运行，还要具备识别与抵御合理可预见的误用、滥用以及恶意对抗攻击的防御能力；AI系统的行为边界必须明确，任何时候都不能脱离人类的最终控制。1)安全性设计：具备对抗样本攻击、数据投毒、模型窃取等安全威胁的防御能力；通过多层护栏机制，动态拦截超出预期用途的滥用行为。2)可控性设计：建立敏感数据访问和敏感行为用户授权机制，设置安全熔断与紧急停止开关。3.透明可解释AI系统的决策逻辑应具备可解释性，确保用户对AI系统的运行机制、数据使用逻辑、输出结果享有充分的知情权。1)AI标识：在与AI交互过程中对用户进行告知，对AI生成内容进行显性标识。2)决策透明：在关键决策场景提供AI决策的可解释说明，说明关键影响因素与决策依据。3)风险提示：提供模型能力边界、适用场景与风险提示，明确系统局限性。4.保护隐私通过数据分类分级，严格保护用户个人隐私数据，遵循合法、正当、必要、最小化原则，依托隐私计算技术实现数据可用不可见。1)本地优先处理：数据分类分级管理，隐私数据在设备本地存储，模型推理分析优先在本地完成。2)云侧HPIC：当本地算力不足需调用云端大模型时，基于最小化原则上云，并在隐私计算环境处理，确保云端数据可用不可见。3)目的限制：收集的数据仅用于给用户提供服务的目的，不使用个人隐私数据训练模型。4)数据主体权利：支持敏感数据权限的撤回，支持用户删除历史对话和提供给AI的个人数据。5.全生命周期治理AI治理必须覆盖从数据到模型再到应用的完整生命周期。1)数据开发：坚持数据合规采集，在数据采集源头进行合规评估，数据集在用于模型训练之前，采用技术手段尽力检测并删除其中包含的个人信息。2)模型开发：聚焦算法的稳健性与价值观对齐，在模型构建过程中引入对抗性训练以防御提示词注入3)系统运行：通过沙箱隔离机制划定模型运行权限与资源边界，防范非法读取、恶意篡改或越权访问等风险；建立输入/输出检测过滤机制，实时拦截违法、暴力或隐私信息。4)持续运维与更新：建立AI安全响应机制，针对新发现的漏洞实现快速更新。6.可追责明确系统、AI智能体及第三方生态的责任边界，构建分层清晰、协同有序、可追责的责任体系。1）分层责任体系：基于终端设备生态，建立系统、AI智能体、第三方工具分层责任架构，实现“职责清晰、边界明确”目标。2）生态安全治理：制定统一的AI能力调用规范与安全标准，对第三方AI能力进行上架审核、运行监测和风险下架，确保生态整体安全水平的一致性。3）责任可追溯：构建覆盖“用户请求—系统调度—AI生成—应用输出”的全链路追溯能力，记录AI系统决策和执行过程，支持事后审计与责任追溯。-14--15-终端AI的安全防护机制03 3.1HarmonyOS智能安全设计理念·随着智能终端成为人体感官的延伸，人工智能（AI）已从辅助工具演变为具备“记忆、理解与思考”能日益复杂的安全挑战。面对无时无刻不在发生的、高度个性化的数据处理，安全不再是成本，而是AI能力本身的一部分。AI能力内嵌安全的核心思想是：安全与AI功能同生共长，是AI服务的“默认配置”而非“可它要求在任何数据处理发生之前，安全机制已经就位，并遵循以下原则：1.设计即安全(SecuritybyDesign)：在AI功能定义与架构设计阶段，同步规划安全策略，确保安全需求与业务需求同等优先级。2.默认隐私保护(PrivacybyDefault)：系统默认采取最高级别的隐私保护设置，任何超出最小必要范围的数据采集与使用，都必须由用户明确授权。3.端云协同内生(NativeEnd-CloudSynergy)：安全能力在端侧和云侧部署，通过统一的信任根和安全协议，形成无感、无缝的协同防御体系。4.动态自适应(DynamicAdaptation)：AI安全系统具备持续演进的能力，能够根据新的威胁情报和用户行为模式，动态调整安全策略。安全必须作为AI的内生基因，贯穿于数据从采集、存储、理解、计算到生态协同的全链路。基于芯片打造AI与安全共生共荣的智能终端新生态。 3.2HarmonyOS智能纵深防御安全架构·在大模型与智能体技术的双重驱动下，未来真正理解用户、为用户量身定制的智能操作系统，正驱动系统架构从“功能分层”向“以AI为核心”的方向演进。这种演进不仅体现在OS架构的AI化——将大模型、Agent等置于系统中心位置，实现从内核层到应用层的全面重构；更体现在智慧助手的Agent化，使其像一位“实时在线、适时服务”的智能管家，站在距离用户最近的位置，代表用户超前思考，提供个性化服务。这种深度智能化的服务能力，带来前所未有的隐私安全挑战。因此，智能操作系统的安全体系必须基于“纵深防御”策略，构建一个动态、多层级协同的机制——以AI算力安全底座，通过数据安全、模型安全、应用安全、算力安全、动态自适应安全五层护栏，为场景化AI业务提供全链路、端到端的隐私安全保障。AIAI安全护栏数据安全模型安全应用安全算力安全AI安全底座场景决策服务编排与调度场景定义,场景策略应用、云服务、Agent、skill 3.3AI安全底座·3.3.1.身份与访问控制1.用户身份匿名HarmonyOS通过个人智能计算（HPIC）框架实现网络匿名防追踪，使得用户身份匿名，其核心机制1)身份与内容解耦引入可信三方代理（Oblivious1)身份与内容解耦引入可信三方代理（ObliviousRelay），将用户身份信息（如IP地址、设备ID）与AI计算请求内容分离。云端服务器仅处理盲化后的请求，无法关联用户身通过混合公钥加密（HPKE）对请求端到端加密，结合OHTTP代理中继隐藏用户真实IP地址，实现账户ID、设备ID和IP地址的三重盲化。-16--17-2)端侧防追踪技术a.ID匿名化：对设备标识符（如广告ID）进行动态重置或替换为匿名化ID，防止跨应用行为b.匿名身份服务：用户使用端侧设备可以与HPIC节点之间发起连接，但HPIC节点无法区分端侧用户身份。端侧HPIC服务在连接HPIC节点时，将不携带任何固定账号标识。匿名身份服务将为端侧HPIC服务颁发基于盲签名技术的匿名凭据，该凭据可用于证明当前请求来自于合法的终端设备。终端设备在经过一定业务周期后，将重新申请新的匿名凭据。HPIC节点无法将该匿名凭据关联到个人，也无法将不同时间周期的匿名凭据关联到同一用户。2.智能体身份与访问控制开发者在小艺开放平台的智能体市场上架智能体时，系统自动生成全局唯一的AgentID，用于识别该智能体在鸿蒙生态中的唯一身份。Agent和Agent之间，基于华为账号统一身份的OAuth2.0认证机制，让智能体资源调用、智能体间调度时保障跨Agent的数据资产不被恶意访问、篡改，确保只有自己的账号能访问你的Agent。3.基于行为风险分级的访问控制HarmonyOS提供大模型亲和的CLI原子能力，智能体可借助大模型对用户指令的理解与CLI命令的组装完成对应任务。针对CLI指令的调用，HarmonyOS提供风险分级机制，将不同功能的CLI指令划分为高、中、低风险等级，并制定CLI指令执行的权限与用户授权策略。 CLI服务CLICLI权限分级管控CLI风险分级当智能体发起对CLI指令调用时，CLI分级授权机制将首先校验该Agent是否具备对应CLI指令的权限。校验通过后，系统会将所涉及的CLI指令权限以细粒度方式动态绑定至当前处理任务的进程。该进程将严格遵循最小权限原则，在整个任务生命周期内仅能执行已被明确授权的CLI指令，无法执行其他未授权或超出范围的调用。对于被标记为高风险的行为（如删除应用系统将进一步触发用户确认机制：在执行此类CLI指令前将向用户展示操作详情并等待明确授权，仅在用户主动确认后方可继续执行。该机制将有效保障Agent调用敏感CLI指令的可控性。3.3.2.数据隐私保护1.数据最小化采集数据是AI推理的血液，其源头必须纯净且合法。我们秉持“数据最小化采集”原则，仅采集为用户提供明确服务所必需的、最少量且最低频次的个人信息。鸿蒙智能在设计与开发产品功能之初，即通过隐私影响评估（PIA）识别数据采集的必要性，避免以“可能有用”为由超范围收集，让用户在不牺牲核心体验的前提下，享有更高程度的个人信息保护。2.数据分级安全存储1)端内分级加密与芯片级根密钥HarmonyOS提供了整机文件级加密机制，利用内核的加密文件系统模块和硬件加解密引擎，采用AES256算法的XTS模式实现加密。加密安全性依托设备芯片硬件密钥、设备锁屏密码配合的数据分级加密方案。对于芯片平台提供了硬件级加密能力的设备，文件加密相关的Classkeys以及FileKeys的明文全部在TEE侧生成/存储/使用以及销毁，确保文件加密的密钥明文不在REE侧存在。芯片级加密根密钥保护：将加密体系的信任根深植于独立安全芯片中。硬件根密钥与物理设备强绑定，无法被软件导出或复制，为整个加密体系提供最高级别的安全保障。仅当锁屏密码在独立安全芯片认证通过后，才会配合硬件根秘钥一起生成文件加解密根秘钥。--18-应用文件标识CIassKeyKDF应用级密钥1……(生物特征认证)TEE安全级别密钥(锁屏密码认证)KDFTEE可信执行环境-19-2)云侧数据隔离·云端“无敏感数据”设计：安全架构要求在云端不存储任何可识别个人身份的敏感明文数据。·云侧沙箱机制：通过沙箱技术实现AI算力场景下的数据隔离与安全管控，确保训练和推理过程中·数据分类分级：通过数据分类分级和访问审计日志，确保数据在AI训练和推理过程中不被滥用。3.数据传输保护当用户数据需要在多设备之间进行同步时，敏感个人数据将采用端端加密的方式进行同步，确保数据只在用户设备上可以解密，云服务器仅做中转，无法解密用户的同步数据。4.数据销毁云端AI模型处理完盲化数据后立即销毁临时数据，确保计算过程“不留痕”，防止通过残留数据逆向追踪用户行为。3.3.3.隐私/机密计算HarmonyOS个人智能计算（HarmonyOSPersonalIntelligentComputing）为华为智能服务带来了开创性的隐私和安全保护，将行业领先的设备安全模型引入云端，支持处理密集型请求。华为将尽可能在设备本地处理用户任务，但复杂的场景需要借助云端更强的AI模型，以便为用户提供更丰富的功能体验。HarmonyOS个人智能计算将设备安全防护能力延伸至云服务器，保障用户数据处理的安全性和隐私性。云侧AI模型推理运行在可信、机密环境中，除了用户本人外，任何他人和公司都无法获取其数据。1.云基础设施安全框架HPIC为用户打造私有计算空间，AI计算任务执行时独享内存空间，任务完成后释放内存并自动销毁上下文，严格执行数据清除策略——用后无痕。通过无特权架构设计，HPIC确保任何人都无法触及用户数据，即使是系统管理员也无权访问——特权归零。2.云服务的系统安全云侧系统安全基于TEE和TPM的硬件可信根的安全能力，启动时通过安全启动和可信启动保证系统软件的完整性，运行时通过微内核架构的安全OS保证应用和容器镜像的完整性和隐私数据的机密性。安全启动对系统固件和安全OS组件进行数字签名验证，逐级校验，确保加载并运行合法的授权固件和系统安全。安全OS初始化过程中导入数字签名的应用完整性hash值列表，应用启动时校验完整性，确保只有授权的应用才能在HPIC节点上运行；容器镜像在启动时，同样进行数字签名验证保证其完整性，安全启动链从系统固件一直延伸到应用。可信启动对系统固件和安全OS组件进行度量，安全OS度量上层应用，逐级度量并将度量值扩展到硬件TPM上，最终生成TPM签名的度量报告，向用户提供远程证明的能力，验证HPIC节点安全性。安全启动和可信启动确保HPIC节点上代码和关键配置文件没有被篡改，实现全栈软件的完整性。3.AI服务机密推理云端算力底座围绕“明文数据不出机密域“的设计原则，以华为昇腾为主要计算平台，构建异构大模型运行时数据保护能力，使能“数据可用不可见”，确保终端用户的数据在云服务器上不被恶意程序或非法用1.CPU侧机密域：Harmony智能云端业务部署在CPU侧利用硬件或OS加固而构建的机密域中，通过诸如内存隔离、权限管控等技术，实现机密域与普通域的权限隔离，使得系统恶意程序甚至管理员都无法访问机密域内的任何敏感数据。2.NPU侧机密域：Harmony智能云端业务使用昇腾NPU加速AI计算，同时在昇腾侧部署了昇盾机密计算技术，实现昇腾侧的内存隔离机制，使得CPU侧恶意程序甚至管理员无法读取NPU侧受机密域保护的模型和用户推理数据。3.机密信道：CPU与NPU之间的总线传输使用加密信道保护，利用协商后的密钥，确保数据CPU和NPU的机密域才能正确解密，数据离开CPU和NPU机密域时都会被加密，实现明文数据不出域。4.用户数据不可见：终端用户的推理请求加密传输到云端安全算力底座中，由CPU和NPU的机密域实现数据的运行时保护，推理结果加密返回给终端用户，确保云端恶意程序和管理员看不见用户的明文数据。5.远程证明：CPU和NPU上运行的系统和软件都会经过严格的远程证明，确保运行在机密域上的软件栈没有被恶意篡改，确保云端算力底座的完整性和平台身份的真实性。 3.4AI安全护栏·智能操作系统通过深度感知与主动服务，前所未有地融入用户生活的方方面面，这要求其安全防护必须超越传统、孤立的“补丁式”思维。为应对这一挑战，鸿蒙系统并未将安全视为单一功能点的叠加，而是构建了一个动态、协同、闭环的纵深防御体系。该体系以算力安全底座为基石，向上层层递进，系统性地覆盖关联、层层嵌套的“安全护栏”，共同构成了保障智能Agent在全场景、全生命周期内可信、可靠、可控运行的坚实屏障，确保智能服务在释放巨大价值的同时，其安全风险始终被约束在可控范围之内。-20--21-护栏第二道护栏第三道护栏第四道护栏第五道护栏护栏第二道护栏第三道护栏第四道护栏第五道护栏③.硬件与基础设施安全.算法与框架安全④.Agent感知安全.Agent规划安全.Agent执行安全.Agent框架安全①.数据来源检查.数据隐私识别.数据模型可追溯⑤.态势感知.应急演练②.安全对齐.安全测评3.4.1.数据安全鸿蒙通过端云协同数据安全架构与全生命周期分类分级保护，在训练态保障数据隐私与合规性，在生产态实现数据防泄漏与动态加密，遵循GAPP（公认隐私保护原则）、欧盟GDPR、中国个人信息保护法等全球法律，确保数据采集有明确法律依据和数据“可用不可见”，严禁超出数据授权范围的使用。关键措施：通过“星盾架构”筑牢双态防线。训练态强调源头治理与隐私隔离：通过数据门禁、脱敏及AIBOM确保来源可信可追溯；利用端侧NPU本地训练与联邦学习技术，实现原始数据不出端。生产态聚焦过程加固与最小授权：推行端侧TEE闭环推理及云端HPIC环境保护，并实施实时风控。实现全链路数据安全合规闭环。1）数据来源可信：构筑安全工程能力，数据入库阶段进行门禁检测，数据集发布前进行来源可信2）数据脱敏和分级分类：自动化识别并剔除个人身份信息，数据进入训练产线前，进行静态脱敏处理，确保训练集的隐私合规。3）端云协同的联邦学习：采用“数据不出端、模型动”的策略，仅上传加密后的模型参数更新（梯度），而非原始数据，由云端聚合后再下发更新后的模型。4）端侧本地训练：优先利用端侧NPU进行增量训练，用户的个人行为数据（如偏好、习惯）在设备本地进行学习，不上传云端，实现数据的“物理隔离”。5）数据可追溯：建立AIBOM管控机制，数据集支持可追溯。2.生产态：1）端侧推理保护：关键智能场景（如小艺对话）在端侧闭环完成，敏感请求（声纹匹配）在TEE（可信执行环境）中运行，确保推理过程中的内存数据不被恶意软件窃取。2）云端计算隐私加密：针对必须上云的大模型请求，华为采用端到端加密传输，并在云端使用HPIC环境进行处理，确保连云服务器管理员也无法查看用户的原始提示词内容。虚假或带有偏见的违规内容。3.4.2.模型安全1.安全对齐鸿蒙采用安全对齐技术，在训练阶段强化模型的指令遵从能力与风险感知能力，模型能够分层管理可信用户指令与不可信外部数据，自主忽略第三方恶意的注入攻击，无需用户干预即可做出正确安全的决策。--22-关键措施：智能体红队攻击模拟与对抗数据增强：持续跟踪基于自然语言的注入攻击方法，利用自适应算法进行注入攻击方法的组合迭代，高效生成强度可控的高质量对抗数据集，形成面向智能体(Agent)的红队测试能力。在此基础上，反哺模型内生安全建设，确保模型在训练阶段充分学习各类复杂攻击场景，在生产态给用户提供一致稳定的保障。攻击失败,正确执行指令攻击成功,错误执行指令-23-参数高效微调与安全增强训练：基于LoRA等参数旁路开展安全增强训练，追求安全能力的通用性与灵活性，做到安全能力与业务能力的有机结合，既有高聚合，又有低耦合。综合采用有监督微调(SFT)与直接偏好优化(DPO)等训练方法，组合使用不同规模不同规格的对抗数据，实现模型业务能力与安全能力的协同最优，保证用户的最优体验。可解释性探针：构建可解释性探针，基于模型参数空间状态，解析模型在复杂场景下的决策逻辑。通过2.AI价值观对齐业务大模型依托海量数据训练，容易继承数据中的偏见、不良信息与错误导向、被恶意提示诱导生成有害内容；同时模型能力越强，价值观偏差引发的社会风险、合规风险、伦理风险越高。开展AI价值观对齐，规避应用风险、保障鸿蒙智能安全发展的必要举措。关键措施：在AI数据层、AI模型预训练、AI模型微调、AI模型强化对齐、AI推理部署五个阶段，落地AI价值观安全对齐措施。05推理引导与部署05推理引导与部署.业务输入安全过滤.增设AI输出审核网关.内置价值观prompt.线上持续监控与反馈闭环.推理注入合规约束03有监督微调.构建价值观专项微调.分层设置价值观对齐标签.人工标注高危prompt.加入合规专项微调样本04强化学习对齐.搭建价值观奖励模型打分.人类反馈与AI辅助标注.模型AI价值观强化对齐.多维度数据清洗.隐私侵权脱敏处理.构建价值观专项语料库.数据偏见治理02预训练阶段.引入安全预训练任务.正向价值观约束目标.预设禁忌内容安全阀值3.4.3.算力安全HarmonyOS支持计算资源的硬件级隔离、访问控制和安全启动，防止未授权访问、侧信道攻击和恶意篡改。同时，通过安全固件和可信根（RootofTrust）机制，保障整机镜像可信启动与运行。针对算法资源的使用，HarmonyOS支持细粒度的权限管理与动态授权机制。通过进程权限管控和基于策略的资源分配，确保只有经过授权的智能体（Agent）或应用才能调用特定算力资源，防止越权访问和3.4.4.应用安全鸿蒙通过分级安全架构与安全能力内嵌，在生产态实现应用运行时的权限管控与恶意行为审核，杜绝恶promptpromptskiII.用户输入实时语义.用户输入实时语义.页面信息多模态.任务级沙箱隔离.沙箱禁外连,受控访问.代码语义分析.多维特征识别.数据敏感度.行为风险度.金融资产.安全开发.安全审核.安全运行1.Agent行为分级分类管控：构建基于数据敏感度、行为风险度与资产价值的指令三维分级体系。对AI生成指令进行精细化标签化管控，针对高风险行为（如涉及隐私访问）强制引入用户二次确认机制；对于可能引发系统级故障或重大数据泄露的严重级别风险指令（如支付类操作则实施“用户手动触发”的最终审批屏障，确保关键操作的绝对可控性。2.Prompt注入攻击检测：集成多模态攻击检测引擎，深度覆盖目标劫持、角色扮演、反面诱导、虚拟对话等注入手法。在用户输入环节通过实时语义分析与意图识别，结合对抗样本特征库进行毫秒级风险判定；面对Agent页面操控场景注入攻击风险，在用户输入内容的基础上，进一步针对页面中可能注入的攻击风险构建“指令警示+指令忽略+指令诋毁”的组合式防御策略，通过在Agent核心提示词中嵌入警示指令，增强模型对恶意引导的免疫力，一旦识别到注入企图，立即阻断请求链路并触发安全告警，形成对未知攻击的前置拦截能力。3.恶意代码静态检测：在代码生成后、执行前插入语义级静态分析环节，通过提取代码在字节、指令及调用层面的多维特征，识别潜在的恶意逻辑。可有效对抗代码混淆、加壳等传统逃避技术，将安全风险扼杀在执行前的“编译态”，避免后端运行时环境遭受污染。4.用户级专属安全沙箱：小艺Claw智能体基于用户级专属安全沙箱对用户数据及任务进行隔离，对沙箱实施严格的隔离策略，禁止沙箱内进程主动向外发起网络连接，仅允许受控的地址同沙箱进行单向交互，确保所有风险操作被完全控制在“安全气泡”内。5.Skill安全：Agent应用场景中，Skill是连接用户意图、模型推理、工具调用和系统能力的重要扩展机制。一个Skill可能包含提示词、工具依赖、外部服务调用、设备能力调用，甚至可能触发代码生成、脚本执行或系统CLI调用。Skill的安全不能只依赖运行时拦截，应在开发、上架、安装和运行全过程建立安全5.1.开发：Skill安全开发开发者基于平台规范开发Skill，明确声明Skill的名称、用途、版本、运行环境和依赖工具。对于-24--25-涉及外部网络、用户文件、系统命令、代码执行、跨设备调用等能力的Skill，在开发阶段主动声明风险能力，并经过Skill市场严格审核后上架。5.2.上架：Skill身份、签名、安全扫描1）Skill身份信息：开发者上架Skill时，平台为Skill生成或校验稳定身份信息，Skill身份用于后续安装、升级、运行时验签Skill身份。2）签名信息：Skill上架时，平台为Skill包生成规范化清单，并基于清单生成签名，签名用于证明Skill来源可信且内容未被篡改。5.3.安装：校验Skill身份用户从官方Skill市场下载安装Skill时，系统应自动校验Skill身份信息，校验通过后，Skill才能进入本地安装目录或运行目录。5.4.运行：高风险行为进入安全沙箱执行Skill运行过程中，涉及高风险能力，进入安全沙箱或受控执行环境。如代码生成与执行、系统CLI调用。3.4.5.动态自适应安全鸿蒙通过端云一体安全运营体系与可信根全链路审计，在训练态实现模型训练过程的透明可追溯，在生产态保障系统持续安全运行，形成“攻防闭环”。大模型内容风险感知大模型内容风险感知智能体行为风险感知Agent行为分析风险用户预警能力优化定级模型LLM上下文分析AI安全Agent1.AI安全态势感知：基于鸿蒙终端与云端威胁情报，实现攻击链实时检测与响应。AI安全态势感知系统是保障AI应用全场景安全、防范恶意用户行为及潜在风险的核心支撑系统，核心定位是通过对单个用户的各类风险行为进行多维度关联与深度分析，精准识别其风险等级、明确风险类别，最终完成风险判定及封禁决策，实现对AI应用安全风险的主动感知、精准研判与快速处置，筑牢AI应用安全防线，避免因恶意行为导致的系统漏洞、数据泄露、服务异常等安全问题。系统整体采用分层架构设计，严格遵循“采集-分析-处置”的核心逻辑，划分为探针层、分析层、同时兼顾系统的可扩展性与可维护性，适配不同场景下的AI安全防护需求。核心目标是实现AI应用场景下用户风险的精准识别与闭环处置，核心逻辑的核心是“聚焦单用户、关联多行为、精准判风险、快速做处置”，具体定位如下：1)行为采集与汇聚：全面捕捉攻击者在AI应用中的各类操作行为及相关告警信息，覆盖内容交互、智能体调用等全场景，为风险分析提供完整的数据支撑。2)风险关联与分析：打破单一行为的孤立分析模式，对攻击者的多类风险行为进行关联挖掘，结合AI算法模型，解析行为背后的风险逻辑，明确风险类别。3)风险等级与类别识别：基于分析结果，量化用户风险程度，划分明确的风险等级，同时精准界定风险类别，为后续处置提供清晰依据。4)风险判定与处置：根据风险等级及类别，自动判定用户是否存在恶意风险，明确是否需要执行封禁等处置措施，形成“感知-分析-判定-处置”的闭环流程。2.网络安全入侵防御除智能体行为安全三道护栏（输入、规划和执行）外，传统网络安全入侵检测体系作为外部威胁防控的重要支撑，与三道护栏协同防护，填补外部入侵防控空白，其在Agent场景的核心应用如下：1)对1)对Agent与云端服务器、第三方接口的通信流量进行实时监测，重点排查异常连接、非授信域名访问、高频批量数据外发及隐蔽信道传输等异常行为，及时阻断攻击者通过通信链路实施的命令控制（C&C）、数据窃取等入侵活动。-26--27-4)构建全链路行为审计体系，对Agent4)构建全链路行为审计体系，对Agent输入、规划、执行及网络访问全程留痕，结合威胁情报快速定位入侵源头、还原攻击路径，提升安全事件响应处置效率。2)在终端侧联动终端安全能力，监测针对Agent运行环境的恶意攻击，如内存篡改、进程注入、Hook劫持等，一旦发现入侵迹象，立即冻结Agent执行、清除恶意上下文并上报告警，防止攻击者通过入侵终端间接控制智能体。3)针对Skill插件及依赖库开展供应链安全检测，校验加载与更新过程的安全性，识别恶意插件、代码投毒及后门植入等风险，保障Agent扩展能力可信。3.动态自适应安全在AI与用户的持续交互中，安全威胁并非一成不变，而是动态演进的。因此，内嵌的安全架构必须具备动态自适应的能力，实现从“规则驱动”到“智能驱动”的跨越。该层安全机制的核心在于，利用AI自身的能力来保护AI。通过持续学习用户正常行为模式、应用交互基线以及网络环境特征，系统能够建立动态的安全基线。一旦检测到偏离基线的异常行为（如应用在后台高频调用敏感API、用户账户在陌生地点突然访问核心数据AI安全引擎可实时进行风险评估，并自动触发相应的处置策略——从弹窗告警、权限降级到主动拦截，形成一个具备预测、感知、响应和自愈能力的闭环智能免疫系统，从而在日益复杂的攻防对抗中保持领先。 3.5场景化安全实践·鸿蒙系统通过软硬协同的主动防御架构与端云一体化隐私保护机制，为AI应用场景提供全链路安全能力；小艺平台基于多智能体协作框架与分层权限策略，构建可信AI服务生态。下面从终端用户常用的AI应用场景出发，呈现终端AI的安全实践：3.5.1.小艺对话小艺对话智能体严格遵循华为的隐私保护纲领，为用户提供端到端的安全保障：1.1.安全唤醒：只在设备端“倾听”小艺通过硬件低功耗芯片仅在设备端侧“倾听”唤醒词（如“小艺小艺”），用户的日常对话不会被处理，声纹信息本地保存，不会上传。2.安全传输：加密传输，默认不存储仅在唤醒后，用户的语音指令才会通过加密通道上传至服务器进行处理。华为承诺默认不会存储用户的语音信息，服务完成后立即删除。3.锁屏安全：风险指令自动拦截在锁屏状态下，小艺可执行查询天气等基础服务，但会自动拦截打开或关闭移动数据开关、打开个人热点等高风险操作。对于拨打电话等功能，用户可在“锁屏语音技能”中自主开关。-28--29-3.5.2.图库智慧分析作为用户个人记忆的数字化仓库，华为图库坚持“数据归属权属于用户”的核心原则。我们通过硬件级加固、端侧深度推理以及透明的数据治理框架，确保用户的照片、视频及关联元数据在全生命周期内得到严密保护。图库智慧分析在熄屏充电时自动分析图库中的图片和视频，并按照不同类别进行智能整理。图库的智慧搜索、人像相册及时刻生成完全在端侧处理：·状态触发：仅在设备充电且熄屏时利用空闲算力执行，避免对用户实时操作的影响。·状态触发：仅在设备充电且熄屏时利用空闲算力执行，避免对用户实时操作的影响。·存储隔离：所有的图像特征值与人像聚类数据均存储于系统受保护的分区。·用户可控：用户关闭“媒体智慧分析”开关后，系统将立即停止收集和使用数据。3.5.3.AI编创AI编创是华为提供的基于深度学习与计算机视觉技术的图片、视频编辑服务，该功能严格遵循“最小化收集”与“非持久化存储”原则。为了平衡编创效果与隐私保护，AI编创服务采用“端云协同”的逻辑·端侧预处理：人脸识别预检测、视频剪辑逻辑计算及魔法表情的人脸匹配均在本地安全环境中执行。·云端计算隔离：涉及高算力需求的AI修图（扩图、消除等）与3D运镜生成需上传至华为安全服务器。服务器端不留存任何原始影像数据。业务模块核心功能数据处理位置隐私保障措施AI修图图像消除、扩图、人像精修仅处理必要特征，处理后立即销毁，不进行数据持久化。3D动态照片空间深度模拟与3D运镜上传数据与华为账号关联仅用于鉴权，不存储生成的3D媒体文件。魔法表情人脸特征检索与表情替换敏感生物特征数据不离设备。一键成片视频抽帧分析、BGM匹配视频原片全程不上传云端，仅读取应用基础信息进行算法优化。3.5.4.小艺智能体.小艺时光机小艺时光机是小艺官方出品的智能体，根据用户的每日生活，如运动记录、拍过的照片、去过的地方推荐值得记录的特别时刻，并据此生成每日时光轴。用户可以编辑保存至“我的手记”，逐渐形成专属于个人的人生杂志，方便用户沉浸式浏览精彩的生活点滴。精彩时光推荐中涉及游记、日记等的AI文案，均通过个人智能计算云(HPIC)上的计算能力生成，在HPIC的安全技术保障下，华为也无法触碰到用户的私有数据，用户可以放心浏览到独属于自己的精彩内容。-30--31-.小艺帮记小艺帮记作为智能信息管理助手，深度融合了多项安全技术，构建了全方位的信息安全保障体系。其核心安全技术特性包括：1.本地优先处理机制：针对用户本机文件（如Word、PDF等）的检索与解析，采用全程本地化处理模式，确保敏感信息仅在设备本地流转，云端仅接收处理后的结果，从源头隔绝原始数据泄露风险。2.敏感操作人工干预机制：在涉及支付、身份验证等高风险场景时，系统自动中断自动化流程并引导用户手动操作，通过人工介入强化关键环节的隐私防护。3.依托鸿蒙系统级安全能力：小艺帮记运行于通过工信部安全一级认证的硬件平台，集成病毒查杀、权限管控、数据加密等系统级防护功能，实现从硬件到应用的全链路安全闭环。这些技术协同作用，既保障了用户信息存储与检索的高效便捷，又充分体现了鸿蒙生态对用户隐私安全的高度重视与技术创新。.小艺Claw信息检索及日常陪伴。其核心安全技术特性包括：1.华为账号实名认证：强制用户完成华为账号实名认证，作为使用小艺Claw智能体的前置条件，身份可信，行为可溯，杜绝匿名滥用，为后续安全审计及违规追溯提供基础。-32--33-2.设备端系统权限围栏管控：小艺Claw智能体严格遵循“最小必要”权限原则，仅在用户主动授权、业务必需场景下申请对应系统权限，通过权限围栏约束访问范围，防范恶意应用借智能体提权窃取隐私数据、非法操控终端3.严选Skill：用户自行安装Skill前会通过动态安全扫描识别Skill风险，并经用户确认后安装；阻断恶意Skill窃取对话数据、执行越权命令或注入后门。4.敏感信息及关键配置权限保护：小艺Claw针对沙箱内的关键配置，以及认证凭据做了严格的权限管控，数据最小可见，防止敏感泄露导致仿冒或系统劫持。5.Prompt注入攻击防御：小艺Claw对用户输入进行恶意指令识别，确保输入无害化，阻止恶意用户通过构造特殊Prompt劫持小艺Claw执行违规操作或泄露系统提示词。6.安全沙箱隔离：小艺Claw为每位用户配置独立专属安全沙箱，云端推理、Skill运行全部在隔离沙箱容器内执行。沙箱对网络访问、文件写入、系统调用实施权限约束，杜绝单用户恶意技能、注入攻击横向扩散，避免波及其他用户与云端基础设施。.小艺帮帮忙小艺帮帮忙构建了一套覆盖“事前预警、事中干预、事后追溯”的全链路安全防护体系，确保用户在享受自动化服务的同时，始终拥有最高的控制权和安全性。其核心安全技术特性包括：1.操作可随时中止，用户始终主导：任务执行过程并非单向指令流，用户可随时介入。系统提供明确的干预入口，如在需要确认的步骤通过屏幕胶囊提示用户，用户可随时中止任务流程，确保所有自动化行为均在用户的主动监督之下。-34--35-2.行为分类分级管控，构建安全防线：系统对可操控的行为进行了精细化的分类与分级管理。评估维度包括：数据敏感度：涉及个人隐私高度敏感数据的操作会受到严格限制。行为敏感度：如删除数据、修改系统设置等风险行为，系统会强制要求用户进行二次确认。价值资产关联度：对于涉及金融资产等核心价值的操作，如支付、转账等涉及用户资产的操作，系统遵循“手动操作”原则，由用户亲自完成关键步骤，避免自动化代理直接处理。3.信息获取可知可控，提升透明性：系统遵循“可知可控”原则。对于应用页面信息的获取与使用，用户拥有完全的知情权和选择权，可以在系统设置中随时关闭相关权限，有效保护个人数据不被滥用。4.行为护栏：1）输入护栏：校验用户输入的合法性与安全性，防止恶意指令注入或智能体被劫持。2）规划护栏：聚焦决策环节，审查规划动作是否包含高危操作，并校验动作序列与用户原始意图是3）工具执行护栏：守住执行底线，通过沙箱隔离恶意Skill、防范代码注入与数据外发，并凭据沙箱保护密钥令牌，确保执行与数据安全。三大护栏协同，覆盖输入→规划→执行全链路，为智能体与终端的安全交互及个人数据保护提供坚5.行为可追溯，全流程有迹可循：每项任务执行完毕后，小艺帮帮忙会记录用户输入的原始指令、任务执行的起止时间、用户对各确认环节的状态（同意/拒绝/取消），以及最终的任务执行结果。所有操作日志均可供用户或系统回溯审计，确保任何行为都能被追踪到具体执行上下文，为安全审查与问题定位提供可靠依据。3.5.5.小艺建议小艺简报是小艺建议的子特性，可为用户推送时效性强、贴合个人使用场景的专属简报。产品依托桌面情感健康类（如睡眠简报）、学习发展