谷歌官方应用SafetyCore暗中扫描用户手机中的照片

近期，大量用户报告揭示，自2024年10月以来，谷歌的Android系统服务SafetyCore已在运行Android 9及以上版本的设备上悄然安装。该服务旨在实现设备端内容扫描，但由于其安装过程隐蔽且缺乏透明度，引发了广泛的隐私担忧。

与常规应用安装不同，SafetyCore没有图标，隐藏在系统进程中，并占用了约2GB的存储空间。这一细节在一篇广泛传播的X（原Twitter）帖子中被曝光，帖子指责谷歌暗中开启了照片库扫描功能。用户只有在进入“设置 > 应用 > 显示系统进程”时，才能发现该应用作为后台服务存在，并拥有互联网访问、存储和设备传感器等权限。

尽管谷歌澄清SafetyCore仅为“设备端基础设施”，用于支持如Google Messages等应用的敏感内容警告功能（如模糊处理潜在露骨图片并在发送或接收前提醒用户），但其隐蔽的安装方式仍引发了对用户知情权和企业责任的质疑。

SafetyCore使用机器学习（ML）模型在本地对内容进行分类，保持端到端加密，避免云端数据传输。其架构与客户端扫描（CSS）技术一致，CSS是一种在本地而非远程服务器上处理数据的隐私保护技术。然而，CSS因其可能被滥用的风险而备受争议。安全专家警告，此类系统可能超出其最初设计的范围，使政府或企业能够监控与之无关的内容。

谷歌坚称SafetyCore仅限于“选择加入”的功能，但其静默部署削弱了用户的信任，因为用户并未被告知该服务的安装或功能。值得注意的是，SafetyCore独立于谷歌的现有恶意软件扫描工具Google Play Protect，专注于内容审核。

此次针对SafetyCore的抵制与苹果2022年因iMessage中的通信安全功能引发的争议类似。虽然苹果因默认启用照片扫描功能而受到批评，但它提供了清晰的文档和用户控制选项，这与谷歌的隐晦部署形成鲜明对比。

2024年末，苹果的增强视觉搜索功能（将照片与地标数据库匹配）因未经明确同意而激活，也遭到了类似批评。这两起事件凸显了科技巨头在隐私承诺与实施实践之间的日益扩大的裂痕。谷歌在X帖子后修改了SafetyCore为“选择加入”，并强调其在打击诈骗和滥用方面的作用，但仍未能完全消除对其ML模型不透明性的质疑。