2026年7月的一个普通下午,上海一位问界M8车主打开了自己的车辆App。
他无意中发现,那个被他再三确认关闭了“位置共享”权限的已授权账号,竟然还能通过车辆自带的“泊车代驾辅助”功能,实时看到车辆的定位。
他此前不想让某个家庭成员知道自己去了哪里,但这看似不起眼的功能失效,却把他最不想暴露的行踪,赤裸裸地摆在了别人面前。
01
车主关掉的是自家的“门锁”,才发现墙上还有一个“窗户”没关。
这个权限失效的消息,很快从车主个人投诉,变成了全网的公共话题。更火上焦油的,是疑似华为高管余承东在内部工作群里的愤怒回应。
他要求立即处理,“不吃不喝也要整改”。
热搜炸开了,无数人不只是看热闹,更是在后怕。
他们怕的不是高管的怒火,而是自己每天开的车,到底还有多少“看不见的窗户”是敞开的?
一台四十万的智能汽车,在车主明确表达了“不想被看见”的意愿后,为什么还在“告密”?
02
定位不是一串简单的经纬度,它是你生活轨迹的完整底本。
连续记录GPS数据,能拼出一个人的大部分社会关系。家庭住址、工作单位、孩子学校、经常去的医院、甚至是去过的酒店。
对于存在家庭矛盾、商务纠纷、人身安全风险的人来说,权限失效带来的后果,绝不只是“有点尴尬”。
从技术视角去看,这个问题出在权限管理的“碎片化”上。
一辆智能汽车正在变成一个“装着轮子的超级手机”。它同时运行着车主账号、家庭共享账号、数字钥匙、远程泊车、行车记录等多个子系统。
不同功能由不同团队开发,数据权限的入口也被分散在各个角落。
用户关掉的是“位置共享”的开关,但另一个团队开发的“泊车代驾辅助”功能,有自己独立的权限入口,并未服从同一个指令。
产品页面上的“关闭”,只是关掉了一层用户界面的入口,并没有从底层切断数据权限的调用。
这就像在公司的行政部门辞职了,但财务系统里你的工资还没停发。
03
那么,发现了这么大的漏洞,正常的操作应该是马上原地修复,对吧?
但网传的聊天记录显示,最初的方案,是要等到9月份,随着App的下一个大版本更新,统一进行修复。
这就是为什么这件事会迅速发酵,引发众怒。
用户无法接受,一个涉及账号越权、实时定位、远程控制的“数字漏洞”,竟然有耐心要等两个月。
软件缺陷集中在大版本中修复,是科技行业的常见做法。更新版本需要走测试、覆盖、审批流程,这是客观规律。
但这条规律,不适用于所有问题。
字体错位可以等,界面卡顿可以等,但当一个漏洞让用户丧失了对自身数据的“掌控权”时,它的优先级应该被提到最高等级。
因为在修复完成前的每一天,都可能有用户继续暴露自己的行踪。
这个“等9月修复”的方案,暴露了企业最核心的短板:没有建立起针对数字领域漏洞的“风险分级”机制。
一个能让用户数据裸奔的漏洞,和一张图片像素不对的BUG,在车企的风险评估表里,被放到了同一个等待队列中。
04
所以,就有了那场被全网知悉的“内部发飙”。
余承东在群内用激烈措辞要求立即整改。
高管亲自下场督战,是解决问题最快的方式。它能让所有部门瞬间拉齐目标,能瞬间打通各种流程阻碍。
这种情节之所以能获得大量用户的支持,是因为普通人都看到了一个现象。
在这个大型组织里,如果没人去踹那一脚,事情真的要到9月才解决。用户期待企业的高层能站在自己这边。
但这件事真正的价值,不应该仅限于“高管给力”。
一个成熟的企业,不能总依赖最高负责人当“救火队长”。
每一次都要等到上了热搜,靠最高领导越级推动,那企业的流程就是有问题的。
高气压能救一次火,但长久来看,靠的是制度的“防火”。
05
这件事还有一个被很多人忽略,但笔者认为最“细思极恐”的细节——门店的后续操作。
网传信息称,当车主向门店反映权限失效问题后,门店的员工为了核实授权关系,直接在服务群里联系了车主的家属。
看到没有?这已经不是一个技术问题了,这成了一个“事故”。
车主的隐私诉求是不想让这个“已授权账号”看到自己的位置。
而门店工作人员的操作,直接反向找到了这个车主最不想让对方知道的人。
这就好比,你发现自家的锁坏了,给物业打电话报修。结果物业为了确认你到底是不是业主,直接在你家门上贴了个告示:“502住户请注意,你家锁坏了,请尽快来物业报修”。
技术漏洞可以被修复,但“人情漏洞”和“流程漏洞”却更难弥补。
它说明在整个服务体系里,对于用户隐私的敬畏心,还没有被刻进操作手册。
未来车企培训售后人员,不能只教产品参数和投诉话术,必须把个人信息保护的意识贯穿每一次沟通中。
06
鸿蒙智行的体量正在让这个问题的严重性指数级放大。
公开数据显示,截至2026年上半年,鸿蒙智行家族全系累计交付量已突破143万辆。今年上半年就卖了约24万台。
问界M8搭载了远程控车、泊车辅助、鸿蒙座舱和华为高阶智能驾驶系统,身上流淌着海量的数字功能。
用户越多,功能越丰富,账号体系里的授权关系就越复杂。
一次只影响少数人的边缘漏洞,放到百万辆车的规模里,就会成为一个不可忽视的系统性风险。
智能汽车的竞争,过去比的是续航长多少、算力强多少、屏幕大多少。
但现在,竞争正在转向一个更底层的维度:谁能让用户真正“控制”自己的数据。
用户点下“关闭”按钮之后,所有关联的模块能真正做到“同步哑火”的准备,这比多一个娱乐功能,对他们来说更加重要。
07
解决这个问题的答案,是给这辆“装了轮子的手机”建立一张“数字故障表”。
传统燃油车,有着非常成熟的故障等级体系。
发动机漏油是A级,要立即回厂检查;某个装饰条松脱是C级,可以下次保养时顺便处理。
这个体系是汽车工业几十年经验的结晶。
智能汽车时代,必须把这种分级体系引入到软件和数字领域。
涉及车辆控制、账号越权、定位轨迹和摄像头权限的问题,应当被自动定义为最高级别的“数字故障”。
发现之后,技术服务团队必须能够立即通过OTA进行功能热修复。
先紧急关停所有可能相关的功能入口,保住“安全底线”。
工程师要排查同一账号体系下的其他入口,把有类似风险的模块全部揪出来。
最后,平台要能主动向所有可能受影响的用户发出通知,解释清楚发生了什么。整个流程,要由一个独立的第三方的团队进行验证审计。
08
更重要的是,企业的响应姿态。
如果仅仅是发布一个公告说“问题已修复”,这远远不够。
用户想知道的,不是一句轻飘飘的“已修复”。
他们想知道:这次事件到底影响了多少人?产生这个漏洞的根本原因是什么?
是代码写错了,还是权限管理架构设计就有问题?
接下来,企业是否进行了顶层设计层面的优化,以防止同类问题再次发生?
信息透明,反而更能构筑信任。
越是尽力淡化、模糊地处理,消费者就会越认为这里面还有别的猫腻。每一次模糊的回应,都在为企业自己的信誉透支。
09
回到事件的源头。
余承东发火,的确有话题性。但这起事件,真正价值在于它为整个行业敲响了警钟。
最危险的不是漏洞,而是漏洞暴露出来的组织流程的僵化,以及一线人员对隐私保护的漠视。
传统汽车漏油是事故,智能汽车漏数据,也应该是同等量级的安全事故。
企业不能用低风险的思维去处理高风险的漏洞,也不能只用高管的“救火”来掩盖制度的“失火”。
发火能救急,但制度才能救品牌。
一个品牌最后赢得用户信任,不是靠它最高领导人在群里骂了谁。
而是当一个用户不希望被看见的时候,它真的什么都看不见。这,才是一辆智能汽车最基本、也最奢侈的“高级感”。
10
2026年,这场风波终将会过去,鸿蒙智行的销量可能还会创新高。
但那些曾经因为“关掉权限却仍被暴露”而感到后背发凉的问界车主,他们的心里,多了一个永久的“问号”。
这个问号,比任何一次触控流畅度和加速推背感,都更深刻地影响着他们对品牌的判断。
最高级的智能,不是它知道车主要去哪里。
而是当车主不希望它知道时,它真的,什么都不知道。
本文依据:《新浪科技》(2026年7月);《腾讯新闻》(2026年7月);《汽车数据安全管理若干规定(试行)》(国家网信办);《中华人民共和国个人信息保护法》(2021年);《华为2025年年度报告》。