Source: The Verge
微软即将推出一个新的AI 功能Recall,它可以在你的PC上截取每一项操作。Recall是将于6月18号首次亮相的新的Copilot Plus PC的一部分,但专家们警告说,已经测试过该功能的专家警告称,Recall可能成为网络安全的“灾难。Recall旨在使用本地AI模型截取您在计算机上看到或做的一切,然后让您能够在秒内搜索和检索任何内容。甚至可以浏览可滚动的时间线。Recall 中的所有内容均设计为本地存储和隐私保护,不会用于训练微软的AI模型。尽管微软承诺Recall体验是安全和加密的,但网络安全专家Kevin Beaumont发现,这款AI 功能存在着潜在的安全漏洞。Beaumont在2020年短暂在微软工作,他在过去一周内一直在测试Recall,并发现该功能以明文形式将数据存储在数据库中。这可能使攻击者可以轻松使用恶意软件提取数据库及其内容。
微软告诉媒体,黑客无法远程窃取Copilot+Recall活动。然而现实是,你认为黑客将如何窃取用户在PC上浏览过的全部内容的明文数据库呢?非常容易,我已经把这个过程自动化了。信息截取木马已经存在用于窃取PC上的凭证和信息,黑客们目前正在分发此类恶意软件以窃取和出售信息。Beaumont已经窃取了自己的Recall数据库,并创建了一个网站,您可以上传数据库并立即搜索其中的内容。微软目前计划在Copilot Plus PC上默认启用Recall。我的测试显示,Recall的预发行版本默认启用该功能,当您设置新的Copilot Plus PC时,默认启用此功能,并且在设置过程中没有禁用选项,除非您勾选一个选项,然后打开设置面板。微软据说正在讨论是否更改此设置过程。
对于微软的Recall公告,隐私活动家称其可能是潜在的“隐私噩梦”,英国信息专员办公室已开始就微软使用这一AI 功能进行询问。微软坚称Recall是一个可选体验,并为该功能构建了隐私控制。你可以禁用某些URL和应用程序,并且Recall不会存储受数字版权管理工具保护的任何内容。微软在其解释FAQ页面上说:“Recall也不会拍摄某些类型的内容,包括使用Microsoft Edge, Firefox, Opera, Google Chrome,或其他基于Chromium的浏览器进行的隐私浏览会话。然而,Recall不执行内容审核,因此不会隐藏密码或财务账户号码等信息。微软警告说:“这些数据可能包含在存储在您的设备上的快照中,特别是当网站不遵循标准的因特网协议时,如隐藏密码输入。微软的FAQ页面没有涉及恶意软件尝试窃取Recall数据库的潜力。
微软说:“Recall快照存储在Copilot Plus PC本身上,在本地硬盘上,并且在您的设备上使用数据加密(如果您使用Windows 11 Pro或企业版Windows 11 SKU还会使用BitLocker)。如Beaumont所指出的,磁盘加密仅适用于某些情况。展示,将需要重新设计Recall功能,或者将其撤回,如果您愿意的话。这里明显存在一些数据存储上的明显漏洞需要解决,且这种默认体验造成了隐私活动家的担忧。Recall的推出是在微软首席执行官萨提亚·纳德拉呼吁员工将安全视为“首要任务”,即使这意味着将其置于新功能之上。微软寻求对Recall的安全性和隐私性问题发表评论,但未及时回复。。
记住保护个人信息和数据隐私,网络安全漏洞可能会带来重大风险。