何意味

有意思，我之前做过类似的统计，不过当时 AI 还没这么发达，没有做成项目： https://www.v2ex.com/t/1145533

@seers > 安卓充斥着你说的“特例”，正好映衬了此贴的主题，安卓的权限控制就是个 joke

唉，和你认真讨论一个例子，就「充斥特例」「全是 joke 」了。我看出来了，你根本不是来讨论问题的，就是来「赢」的。

那行吧，你赢了。苹果牛逼。就事论事都做不到的，已 block

@seers 读取程序列表是一个特例，因为有很多其他方法探查相关信息。即使禁止了 QUERY_ALL_PACKAGES ，应用也有其他方法读取信息，例如：

- 提前内置一个关心的包名列表，然后一次 query 一个
- 调 Intent 去查询所有响应某个特定 IntentFilter 的应用列表
- 还有通过各种 Service 或 ContentProvider 泄露的信息来判断的方法，甚至扫描公共下载目录的内容来黑名单匹配

这种难以屏蔽是因为，一个应用的存在与否会改变很多全局连带状态。和「剪贴板获取/打开摄像头」这类直接动作差别比较大。

实现比较彻底的屏蔽需要第三方模块，例如 https://github.com/dr-tsng/hide-my-applist ，通过拦截篡改一大批接口来尽量隐藏。但如果真做到这一步，你会发现一些正常的应用功能都可能会出问题了。

@NekoBoss > 开放的安卓自然有办法解决很多问题。但是 app 太多了，各家 app 不知道有什么方式可以绕过呢。不如 iOS 那样统一

这个确实没办法，就像没法要求「所有 Linux 发行版的体验、设置项、配置入口都一模一样」。

当然，下游版本要对最终消费者负责，遇到问题大大方方骂厂商就行了。

> 国产安卓就比较操心了，安装之前用 libcheker 看看 app 都要了什么权限。国产安卓还得操心用 activity mannager 创建各种可以一键跳转的页面，比如说一键跳转到 5G 开关页面，比如说一键跳转到小米的各种隐藏页面。还有谷歌服务的设置页面

这种我还真没遇到过……我两年没用小米了，不太清楚 HyperOS 的情况。但用 OriginOS 之后除了后台留存以外，我几乎没遇到需要关心权限的情况了，都是从应用商店下载，正常接受权限即可。很久没进入过应用管理页面了。

另外有一点你说得对，国产安卓要服务更大的用户群体，为了易用性就不可避免要牺牲可控性（内置白名单只是其中一种）。如果需求隐私，还是买个能刷类原生的手机吧。

@NekoBoss

> 在两年前我在别的平台上的贴子上，应用宝可以在拒绝了悬浮窗权限（显示在其他应用上层）并且当时清理了后台，不在后台运行的情况下，在刷小红书的时候，它会弹窗提醒清理垃圾。这也是白名单吗

我猜测是，但我从来没有遇到过类似情况，也没有安装过应用宝。所以我不能确定。

> 很多 app 可以利用漏洞绕过系统限制

这种在 Android 5 以前是比较猖狂的。现在几乎绝迹了。

Google AOSP Team 不是傻逼，如果有简单的方法几行绕过权限管理，他们不会不知道，或者故意不改。

> 我记得之前拼多多就有这种丑闻，利用安卓漏洞进行牟利

这个是真的，但是是利用是 0day 漏洞，没几天就修复了。只是各个下游 vendor 发布安全更新比较滞后。此事之后，厂商普遍加快了和上游同步的速度。

> 类原生给的权限更少，没有剪贴板，没有应用列表。也更没有空白通行证

这是 Android AppOps 的一部分，不是「国产安卓专属」的： https://android.googlesource.com/platform/frameworks/base/+/master/core/java/android/app/AppOpsManager.java

你可以通过操作 AppOps 来配置返回空白值（ MODE_IGNORED ），控制读写剪贴板（ READ_CLIPBOARD / WRITE_CLIPBOARD ）或读取应用列表（ QUERY_ALL_PACKAGES ）。

这是怎么得出「安卓的权限管理是假的」的结论的？最多说明比较混乱吧。

> 可以看到 123 云盘读取剪贴板-已允许，点击进去之后，发现仍然是拒绝的

这个感觉是小米的权限设置记忆 Bug 而不是什么通病。我在 MIUI 、crDroid 和 OriginOS 上都没有复现。

> 腾讯的应用宝 app ，无论你怎么拒绝，它始终知道手机上安装的 app

这种多半是白名单吧。

低情商地说，这是权限漏洞；高情商地说，可能是被用户投诉烦了（真的会有人随手点击拒绝权限，然后来找客服说「我下的应用商店在你们手机上用不了，肯定是你们手机的问题」…），所以对信任 App 开绿灯了。

> 安卓的权限控制都是自娱自乐，native 那边有一万种方法绕过

@seers 举个例子？我很好奇 native 侧哪里有一万种方法绕过。据我所知，大部分（如果不是所有）权限控制都是在 native 侧 + selinux 内核侧实现的检查。

以防你想问：不，大部分 Android 手机禁用了 algif_aead 等内核模块，因此可能不能利用这个漏洞提权。

1. 互联网数据走的是 IP 网络，短信走的是 SS7 信令网络。这是两套基础设施，需要分别维护，有独立成本；

2. 防止被滥用。如果发短信（尤其是企业群发 A2P ）免费，很快垃圾短信就会和垃圾邮件一样多了；

3. 短信能保证几乎 100% 及时触达，互联网不一定。这种高可靠性、兜底性场景在软硬件上都是互联网不能替代的；

4. 聊天平台也在赚你的钱，只不过是通过向你投放广告。当你使用的产品免费的时候，可能你就是产品

@subpo 我让 OpenCode 读数据库统计了一下全部使用：

Input tokens：206,552
Output tokens：2,954
Cache read：1,524,672
Total tokens：1,736,656

牛逼了，我第一次见到按名义 token （ 1.7M ）而不是实际缓存外输入（ 200K ）计费的平台。合着进了缓存、不消耗算力的资源也要按原价收钱是吧 https://i.imgur.com/VUWFktU.png

照这么收，200M Tokens 还是 1.6T Tokens 都不算多，因为正常来说缓存命中率有 60~80%，他这一下全给你按原价算进去了

@chenfang 这个肯定是考虑到了，我文档也仔细看过了，双倍再怎么算也不能把 50K 算成 3000K 吧。那我不知道是什么算法了，总共项目的代码加起来都没到 1000 行…

小米这个给我气笑了，OpenCode 连接 MiMo2.5-Pro 做了个简单任务，显示花了 50K tokens ，网页上 Token Usage 记录了 3M https://i.imgur.com/VUWFktU.png

后面和朋友交叉实验了一下，他自费充了 20 块，用 cursor 问几个问题就花了 17 块。我自己发了个 Hi 就花了快 10K tokens 。

基本可以实锤我这有暗改倍率，平均下来这倍率得有 20x~40x 了，Standard Plan 在我这使用强度下只够用三天。我说雷军玩不起就别玩，真以为自家模型多顶尖……

我这段话是使用 fcitx5-vinput 语音输入发出的。本地小 ASR 模型还是很够用的，虽然效果没有在线服务那么好，但正确识别一两句完整的话不成问题。

感觉很多回复没看清楚标题。

标题是「没有」比官方便宜，也就是「有人会愿意为比官方更贵的 Claude 中转付费吗」。

obsidian 有 Copilot 插件可以侧边聊天，也可以直接 terminal 插件开个终端然后启动你喜欢的 code agent 。何来不方便一说？

不是仓库，应该是用户被注销了： https://github.com/jonataslaw

看其他论坛上的猜测，可能是被 GitHub 误封号了