本月早些時(shí)候，微軟CEO Satya Nadella向員工發(fā)出備忘錄，要求他們優(yōu)先考慮安全，甚至在發(fā)布新功能之前。

微軟宣布推出Windows 11支持的Copilot+系列PC，其中包括Recall功能，該功能每隔幾秒鐘截屏一次，對(duì)其進(jìn)行加密保存，并利用AI讓用戶搜索查看在應(yīng)用程序、網(wǎng)站、文檔等中瀏覽過的特定內(nèi)容。

這可能會(huì)出現(xiàn)什么問題呢?

關(guān)于Windows Recall

“當(dāng)你在Recall中找到你要找的快照時(shí)，它會(huì)進(jìn)行分析并提供與你的內(nèi)容互動(dòng)的選項(xiàng)。你可以采取的操作取決于內(nèi)容和Windows中Copilot的聊天提供商功能。例如，你可以突出顯示一段文字，并選擇將其總結(jié)、翻譯或用Word或記事本等文本編輯器打開。如果你突出顯示一張圖片，你將能夠編輯它或使用Windows中Copilot的聊天提供商找到或創(chuàng)建類似的圖片?！蔽④浗忉尩?。

“Recall還將使你能夠在創(chuàng)建快照的原始應(yīng)用程序中打開它，隨著Recall的不斷改進(jìn)，它將打開截圖中的實(shí)際源文檔、網(wǎng)站或電子郵件?！?

以下是與此新功能相關(guān)的最顯著的細(xì)節(jié)(微軟概述)：

? 截圖僅存儲(chǔ)在設(shè)備上，并使用“設(shè)備上的數(shù)據(jù)加密和(如果你有Windows 11 Pro或企業(yè)版Windows 11 SKU)BitLocker”進(jìn)行保護(hù)。

? 截圖不會(huì)被發(fā)送到微軟或用于廣告定位。

? “截圖僅對(duì)使用該設(shè)備登錄的個(gè)人可用。如果兩個(gè)人使用不同的個(gè)人資料共享設(shè)備，他們將無法訪問對(duì)方的截圖。如果他們使用相同的個(gè)人資料登錄設(shè)備，他們將共享截圖歷史記錄?！?

? 用戶可以防止Recall從特定應(yīng)用程序或支持的瀏覽器訪問的網(wǎng)站收集內(nèi)容。Recall不會(huì)截取Microsoft Edge中InPrivate網(wǎng)頁瀏覽會(huì)話、受DRM保護(hù)的內(nèi)容的快照，但“不會(huì)隱藏諸如密碼或金融賬戶號(hào)碼等信息，尤其是在網(wǎng)站不遵循標(biāo)準(zhǔn)互聯(lián)網(wǎng)協(xié)議如密碼輸入遮蔽時(shí)。”

? 用戶可以暫?？煺盏膭?chuàng)建、刪除它們并關(guān)閉Recall功能。

Windows Recall功能可能存在的安全和隱私陷阱

習(xí)慣于從攻擊者角度看待技術(shù)解決方案和新功能的安全和隱私專業(yè)人士立即指出了其可能的缺點(diǎn)。

Kevin Beaumont認(rèn)為，這一功能將對(duì)使用信息竊取惡意軟件的犯罪分子大有裨益?！罢麄€(gè)事情真的是一個(gè)非常糟糕的主意，它將使AI成為欺詐者的超級(jí)助手——只需竊取Recall數(shù)據(jù)庫，而不是僅僅竊取本地瀏覽器密碼數(shù)據(jù)庫，”他指出。

即使數(shù)據(jù)庫不能被外傳，仍然有信息竊取者使用光學(xué)字符識(shí)別(OCR)從圖像/截圖中提取敏感文本。

Beaumont還指出，盡管Recall可以關(guān)閉，但它也可以被威脅行為者通過Powershell秘密開啟。

“微軟正在使用Copilot發(fā)明一個(gè)新的安全噩夢(mèng)，這無疑會(huì)導(dǎo)致消費(fèi)者欺詐增加以及企業(yè)的其他困境，”他評(píng)論道。

除此之外，還有其他可能出現(xiàn)的安全、隱私和安全問題。

首先：你有多信任你的伴侶/家人/室友/同事(甚至是你的政府)?如果他們?cè)O(shè)法獲取你的計(jì)算機(jī)密碼，他們可以輕松地通過你的快照搜索其他密碼、敏感數(shù)據(jù)等。

企業(yè)也應(yīng)該考慮到該功能可能會(huì)“記住”機(jī)密的商業(yè)數(shù)據(jù)。

再者：你有多信任微軟?該公司目前沒有使用Recall快照，但未來很容易改變。例如，他們可能希望使用該功能來訓(xùn)練AI。

本月早些時(shí)候，微軟CEO Satya Nadella向員工發(fā)出備忘錄，要求他們優(yōu)先考慮安全，甚至在發(fā)布新功能之前。

我猜時(shí)間會(huì)告訴我們，這是否只是為了在公司過去幾年遭受懷疑由國(guó)家支持的黑客攻擊和CISA網(wǎng)絡(luò)安全審查委員會(huì)對(duì)公司防御的嚴(yán)厲報(bào)告后，爭(zhēng)取一些良好的宣傳。