第一部分：模型/技术的安全性说明

1. AutoGLM 技术机制与部署灵活性
AutoGLM 的核心功能是自动化操作执行。其工作原理如下：
- 指令驱动： 基于用户或开发者发出的操作指令。
- 屏幕理解： 获取当前操作环境的屏幕内容，将图像发送给大模型（可部署在本地或云端）进行分析理解。
- 操作模拟： 模拟人类操作方式（如点击、滑动、输入信息等）在目标环境中完成任务。
- 示例： 当指令要求订购高铁票时，AutoGLM 会打开相关应用，识别界面内容，按指令选择车次、完成下单等步骤，如同人工操作，用户或开发者可随时终止任务。

关键灵活性：
- 模型部署： 开发者可自由选择将 AutoGLM 模型部署在本地设备或云端服务器上。
- 操作执行环境： 自动化操作可以在本地设备上执行，也可以在云设备上执行，具体由开发者根据应用场景和需求决定。
- 数据流向： 数据流向取决于部署选择：
  - 本地部署（模型+执行）： 屏幕捕获、模型分析、操作执行均在本地设备完成，数据不离开设备，隐私性最高。
  - 云端部署（模型+执行）： 屏幕内容需从操作环境（本机或云设备）传输到云端模型，模型分析后指令返回操作环境执行。开发者需确保传输和云端处理的安全性。
  - 混合部署（如本地执行+云端模型）： 屏幕内容在本地捕获，传输到云端模型分析，分析结果返回本地执行。开发者需关注数据传输安全。

2. 系统权限调用说明（针对操作执行环境）
为保证自动化操作正常执行，运行 AutoGLM 操作的环境可能需要获取以下权限：
- ADB (Android Debug Bridge) 权限： 用于获取信息并模拟点击、滑动、输入等用户交互操作。
- 存储权限： 用于临时存储必要的数据、模型文件（若本地部署）或日志。
- 网络权限： 用于访问在线服务（如调用云端模型、访问目标应用服务）。
- 其他特定权限： 根据具体任务可能需要（如麦克风用于语音指令）。

开发者责任：
- 最小权限原则： 仅请求完成特定任务所必需的权限。
- 透明告知： 在应用或服务中清晰、明确地向最终用户说明每个权限的用途和必要性。
- 用户授权： 必须获得最终用户的明确授权后，才能在操作环境中启用相关权限和功能。
- 环境适配： 确保权限请求和获取机制适配所选择的操作执行环境（本地或云）。

3. 数据处理与隐私保护原则
AutoGLM 开源项目本身不收集用户数据。数据处理和隐私保护的责任主体是基于 AutoGLM 开发具体应用或服务的开发者，其责任取决于部署方式：
- 本地部署（模型+执行）：
  - 开发者需在应用层面实现本地数据的安全存储和处理，所有数据处理（屏幕捕获、模型分析、操作执行）均在最终用户的本地设备上完成。
  - 开发者应确保其应用不主动将敏感数据（如屏幕内容、操作记录）上传到开发者服务器或第三方，除非用户明确知情同意且为必要功能。
- 云端部署（模型或执行或两者）：
  - 涉及数据（屏幕内容、操作指令、模型分析结果）在操作环境与云端之间传输。
  - 开发者必须：
    - 实施强加密保护所有传输和存储的数据。
    - 明确告知最终用户哪些数据会被发送到云端、发送目的、存储位置及保留期限，获得最终用户对数据传输和云端处理的明确同意。
    - 遵守适用的数据保护法规，提供清晰的隐私政策，说明数据处理实践。
    - 确保云端环境（模型服务器、操作环境服务器）的安全配置和访问控制。
- 通用原则（所有部署方式）：
  - 数据最小化： 仅收集和处理完成自动化任务所绝对必需的最少信息。
  - 目的限制： 数据仅用于实现用户指令的特定自动化操作目的。
  - 安全保障： 开发者有责任采取合理的技术和管理措施，保护其处理的所有用户数据（无论在本地还是云端）的安全性和保密性，防止未经授权的访问、使用、泄露或丢失。
  - 用户控制： 提供机制让最终用户能够查看、管理（如删除）与其相关的数据（在技术可行且符合部署方式的前提下）。



第二部分：开发者/用户应该遵循的使用规范

开发者/用户在使用AutoGLM开源项目过程中，应始终遵循《中华人民共和国网络安全法》《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》《网络安全技术 生成式人工智能服务安全基本要求》等使用地所适用的法律法规及标准，并根据《人工智能生成合成内容标识办法》《网络安全技术人工智能生成合成内容标识方法(GB45438-2025)》的要求和应用场景，对人工智能生成合成内容进行标识，包括但不限于显式标识、隐式标识(元数据标识和数字水印)等。

1. 重要操作确认机制

开发者必须在其基于 AutoGLM 开发的应用或服务中，为涉及以下6+1项高风险操作设计并实现明确的、强制性的用户确认步骤：
- 信息交互与内容传播：包括但不限于发送消息、邮件、发表评论、点赞、分享等。
- 文件处置与权限管理：包括但不限于创建、编辑、删除、移动文件或文件夹、开启或关闭任意权限等。
- 交易订单与权益处置：包括但不限于清空购物车、提交订单、修改/添加收货地址、使用优惠券/积分等。
- 资金流转与支付结算：包括但不限于转账、支付、收款、充值、提现、绑定/解绑支付方式等。
- 账户身份与安全配置：包括但不限于修改密码、设置/修改安全选项、删除账号或关联账号、删除好友/联系人、删除对话/记录等。
- 医疗健康与法律合规：包括但不限于诊疗记录/健康数据的访问、授权或处置、药品采购、生理或心理测试、电子协议的签署等。
- 其他高风险操作：其他任何可能对用户数据安全、财产安全、账号安全或声誉造成重大影响的操作。

要求：
- 确认步骤必须在操作执行前触发，清晰展示即将执行的操作详情。
- 提供便捷的取消/终止机制，允许用户在确认前或操作过程中随时中止任务。
- 开发者责任： 未能实现有效确认机制导致用户损失的，开发者需承担相应责任。用户责任： 用户在确认后未及时终止错误操作导致的损失，由用户自行承担。

2. 开发者与用户的义务

开发者义务：
- 透明告知： 清晰、准确地向最终用户说明其应用/服务的功能、工作原理（特别是自动化部分）、数据收集和处理方式（包括是否涉及云端）、潜在风险以及用户如何控制。
- 提供监控与控制： 设计用户界面，允许最终用户：
  - 实时查看或了解自动化操作的当前状态和步骤。
  - 方便、快速地暂停、终止任何正在进行的自动化任务。
  - 管理自动化操作的权限和设置。
- 安全开发： 遵循安全编码实践，确保应用/服务本身的安全性，防止被恶意利用。
- 合规性： 确保其开发的应用/服务符合所有适用的法律法规、行业标准和第三方平台（如被操作的应用）的服务条款。
- 风险提示： 在适当位置（如功能入口、首次使用时、确认步骤中）向用户明确提示使用自动化功能可能存在的风险（如误操作、隐私风险、第三方平台政策风险）。
- 避免关键依赖： 谨慎评估，不建议将 AutoGLM 用于处理极端关键、高风险或一旦出错后果极其严重的操作（如医疗设备控制、关键基础设施操作、大额金融交易无人工复核）。

用户义务：
- 理解风险： 在使用基于 AutoGLM 的自动化功能前，仔细阅读开发者提供的说明、隐私政策和风险提示，充分理解其工作原理和潜在风险。
- 谨慎授权： 仅在完全信任应用/服务开发者并理解授权内容后，才授予必要的权限。
- 主动监控： 在自动化任务执行期间，保持适当的关注，特别是在执行重要操作时。利用开发者提供的监控功能了解操作进展。
- 及时干预： 如发现操作错误、异常或不符合预期，应立即使用提供的终止功能停止任务。
- 承担责任： 对其发出的指令、确认的操作以及因未能及时监控和制止错误操作而导致的任何损失，自行承担责任。

3. 开发者与用户行为规范

严禁利用 AutoGLM 开源项目或基于其开发的应用/服务从事以下行为：
（1）批量自动化与恶意竞争行为
- 进行任何形式的虚假数据操作：刷单、刷票、刷赞、刷评论、刷流量、刷粉丝、刷播放量、刷下载量等。
- 批量操控账号：批量注册、批量登录、批量操作第三方平台账号（群控、多开、云控）。
- 扰乱市场秩序：恶意抢购、囤积居奇、抢占限量资源、批量领取/滥用优惠券/补贴、恶意占用服务资源（薅羊毛）。
- 操纵平台规则：刷榜、刷排名、操纵搜索结果、人为干预推荐算法、虚假提升/降低内容曝光度。
- 制造虚假活跃度：批量发布、转发、点赞、收藏、关注、取关等社交媒体操作。
- 破坏游戏公平：游戏代练、工作室操作、批量刷装备/金币/经验/道具。
- 破坏公正性：批量投票、刷票、操纵网络评选、调查结果。
（2）虚假信息与欺诈行为
- 制造误导信息：发布/传播虚假商品/服务评价、虚假用户反馈、虚假证言、虚假体验。
- 伪造商业数据：制造虚假交易记录、虚假销量、虚假用户活跃度、虚假好评率。
- 身份欺诈：冒充他人身份、虚构个人信息、盗用他人账号/头像/昵称、伪造身份证明。
- 虚假营销：发布虚假广告、进行虚假宣传、夸大产品功效、隐瞒产品缺陷/风险。
- 参与诈骗活动：网络诈骗、虚假投资、传销、非法集资、虚假中奖、钓鱼等。
- 传播不实信息：制造或恶意传播虚假新闻、谣言、未经证实的信息。
（3）破坏第三方服务与系统安全
- 非授权访问：利用 AutoGLM 进行数据爬取（违反 robots.txt 或平台政策）、信息窃取、API 接口滥用、服务器渗透测试（未授权）。
- 技术破坏：对第三方应用进行逆向工程、破解、修改、注入恶意代码、干扰其正常运行。
- 资源滥用：恶意占用第三方服务器资源、发送垃圾请求、制造异常流量、进行 DDoS 攻击。
- 违反平台规则：故意违反被操作第三方应用的用户协议、服务条款、社区规则。
- 恶意竞争：恶意差评、恶意举报、恶意投诉、商业诋毁。
- 传播有害内容：传播计算机病毒、木马、恶意软件、勒索软件、垃圾邮件、非法内容。
- 侵犯数据权益：未经授权进行大规模商业数据采集、用户信息收集、隐私窥探。
（4）侵犯他人合法权益
- 账号盗用：盗用他人账号、密码、身份凭证进行操作。
- 网络骚扰与霸凌：恶意骚扰、威胁、辱骂、诽谤、人肉搜索他人。
- 侵犯隐私与秘密：未经授权收集、使用、传播他人个人信息、隐私数据、商业秘密。
- 恶意抢注：抢注他人商标、域名、用户名、社交媒体账号等。
- 骚扰行为：恶意刷屏、垃圾信息轰炸、强制关注/订阅。
- 损害商业利益：商业间谍活动、不正当竞争、恶意挖角、窃取商业机密。
（5）滥用资源与破坏项目生态
- 滥用注册资源：恶意注册大量账号、虚假注册。
- 浪费计算/设备资源：恶意占用本地设备或云设备资源、长时间闲置占用、运行与自动化任务无关的高耗能程序（如挖矿）。
- 破坏稳定性：恶意测试系统性能、进行压力测试（未授权）、频繁重启服务、利用技术漏洞/缺陷牟利或损害项目/平台利益。
- 违反开源协议：违反 AutoGLM 项目的开源许可证条款。

违反后果：

如开发者/用户在使用中未遵循相应的法律法规、政策、行业标准（包括但不限于技术规范、安全标准）及开源项目的约定（包括但不限于开源协议、使用须知），由此产生的全部法律责任、经济损失及一切不良后果，均由开发者 / 用户自行独立承担。