夜雨聆风淘宝会弹真人验证码。 微信检测到屏幕共享,立刻提示你关掉 AI 操作。 农行、建行只要发现录屏,直接让你退回手动。
这三件事从 2025 年底起就在同时发生——不是 App 出了 bug,也不是在刁难你——它们在联手防同一类新产品:OS 级 AI 助手。2026 年 5 月 20 日,腾讯的 Marvis(中文名马维斯)三端全量上线,是这个赛道最新进场的那张牌。
淘宝、微信、农行在防什么?
这些防御措施,不是 Marvis 上线之后才出现的。
2025 年底,字节豆包 AI 手机宣传"能帮你操作 App",淘宝、微信、农行、建行陆续部署反向防御:动态验证码、屏幕共享检测、录屏时强制退出 AI 操作模式。新浪财经当时的标题是《豆包 AI 手机引 App 厂商集体"掀桌子"》。
这说明一件事:这些 App 比普通用户更早搞清楚了 OS 级 AI 能做什么。
OS 级 AI 助手坐的位置比 App 高一层——介于操作系统和应用之间的"AI 中间层"。它能看到你屏幕上的所有内容:银行余额、"立即付款"按钮、刚跳出来的验证码。
不只是"看到",它还能模拟点击。
对电商和金融 App 来说,这意味着:如果 AI 能替你点"确认转账",用户有没有真正授权,就成了灰色地带。所以它们先行设防,不等监管告诉它们该怎么做。
Marvis 加入这个赛道,让这个议题重新浮上来:这个 OS 级 AI 助手到底是什么,才值得这么多 App 如临大敌?
来认识一下 Marvis
上海证券报的原话值得直引:Marvis"将终端系统、文件、应用、算力和跨端连接纳入同一个 AI 中间层"。
说白了,聊天 AI 是参谋——你来问,它来答,最后还得你自己去执行;Marvis 是勤务兵,你说需求,它帮你点按钮、找文件、跑流程。
2026 年 5 月 20 日,Windows / macOS / Android 三端全量开放,无需邀请码,marvis.qq.com 直接下载。上线至今 11 天。
架构是 1+5 多 Agent(共 6 个):主 Agent 负责统筹,调度 File(文件)、Computer(系统操作)、App(应用控制)、Browser(浏览器)、Search(搜索)五个专项 Agent 各管一块。腾讯内部叫这 6 个"小牛马"——名字挺传神。你说"帮我找上周的合同",File 专员翻文件夹,Computer 专员顺手关掉弹出广告,你只管说需求。
目前独立旁证只有两个(CSDN 实测):关掉 Windows 系统广告弹窗、用手机遥控解锁公司电脑。发布会演示了更多场景,独立验证还没出现。
运行模式两种:效率模式调用云端大模型,速度快,适合日常高频任务;隐私模式采用端侧大模型 + 芯片厂商加速,断网可用,主打财务、法务、HR 等敏感场景。前者像点外卖,厨房在云端;后者就是自己在家做饭。
免费额度每天 1000 万 Token,日常用不完。
它凭什么能绕过 App 的围墙?
能力来自一个权限:无障碍权限(accessibility permission)。
这个权限原本给视障用户设计,让屏幕阅读软件能读取界面、辅助操作。OS 级 AI 借这个口子,可以读取整个屏幕——任何 App 界面上的文字、按钮、输入框——并模拟点击。App 的沙箱通常能隔离不同应用之间的数据,但无障碍权限是系统级的,优先级在 App 之上。
这就是"围墙"被绕过的方式。
时间线需要说清楚:OS 级 AI 的"上帝视角"争议,最早由 2025 年底字节豆包 AI 手机触发,《科技日报》(2025-12)、OFweek(2025-11)当时都专门写了这个问题,新华社旗下《经济参考报》于 2026 年 2 月跟进报道。Marvis 是 2026 年 5 月才上线,是新加入讨论的对象,不是这场争议的起点。无障碍权限的风险,是 OS 级 AI 这一整类产品的通用代价,不是腾讯特有的设计选择。
讲真,隐私模式有一处容易被误解:端侧推理减少了数据上云,但无障碍权限读取你屏幕内容这件事,和有没有联网是两码事。
无障碍权限的能与不能
✅ 能做的
- 读取屏幕上的任意内容(文字、按钮、输入框)
- 绕过 App 沙箱,模拟点击操作
- 跨 App 传递指令,完成多步骤任务
❌ 已被限制的
- 淘宝:AI 操作时弹出真人验证码
- 微信:检测到屏幕共享后提示关闭 AI 操作
- 农行 / 建行:检测到录屏时强制退回手动操作
那监管层面,有没有给出答案?
监管还没想好怎么管这件事
有两套协会标准,两种立场。
广东省标准化协会 2025 年发布的 T/GDBX 107-2025:明确禁止 AI Agent 利用无障碍权限直接操作第三方 App,操作前要经过用户双重确认授权。
中国软件行业协会 T/SIA050-2025:同样要求双重授权。但同一机构后来的 T/SIA065-2025 则转向"用户自主控制"——前后立场已经不同了。
两套体系,三个版本,没有统一执行机制,也没有具备法律效力的国家强制标准。"什么算合规"没有共识,判断的压力就落到了用户自己身上。
协会层面给出的合规建议(双重授权 / 用户自主控制,两版并存)和头部 App 自行部署的反向防御,是目前唯二能依赖的两根支柱。但国家强制标准还没有,"用无障碍权限做 AI 操作"是不是不正当竞争也没定论,连 Marvis 这类 OS 级 AI 产品现在到底算不算合规,都没有统一答案。
那你装还是不装?
取决于你想用来干什么。
找文件、关广告弹窗、跨端遥控电脑——这几个场景有独立旁证支撑,每天 1000 万 Token 免费,入手成本不高。可以试。
有敏感文件要处理(财务、法务、HR):优先开隐私模式。但"完全不上云"目前是厂商口径,第三方没有验证过。信不信,你自己判断。
想用它全自动操作淘宝、微信、银行 App:现阶段预期要调低。头部平台的反向防御已经部署到位,能跑通的场景有限。这不是 Marvis 特有的问题,是整个 OS 级 AI 赛道目前的处境。
这篇里所有的产品特性描述,最终都可以追溯到腾讯发布会同一份通稿被多家媒体复读。Marvis 上线 11 天,第三方独立评测尚未出现。现在能读到的"分数",基本都是厂商出题厂商批卷。
下载地址 marvis.qq.com,自己去试。涉及金融操作的场景,先想清楚你愿意把哪道门打开。
腾讯交了一张入场券,不是一张成绩单。
