撰稿 | 諾亞
出品 | 51CTO技術棧(微信號:blog51cto)
自從微軟在Build大會上宣布推出Windows AI 功能——Recall以來,它就引起了廣泛關注和討論。傳說這項備受爭議的功能將和Copilot+ PC一起上線。
Windows Recall能夠實時記錄用戶在電腦上的活動,持續截取你正在進行操作的屏幕畫面,它會保存這些“屏幕快照”,以及相應的OCR文件,以便讓這些信息可用于Copilot搜索,讓用戶能夠語義化地搜索過去瀏覽或處理過的內容。
微軟固然表示這些信息會被加密并保存在本地硬盤上,但依然有人提出這是一種時刻給人“you’re being watched”感覺的監控工具,而且還有人擔心:即使這些快照被加密保存,但如果有黑客訪問用戶電腦,仍然可能觀看和保存這些記錄。這不僅會引發個人隱私泄露的擔憂,還可能涉及到安全問題。
因此爭議焦點逐漸變成:這究竟是一個真正有用的功能,還是只是強加給消費者的無用的AI技術之一?
1.不受待見的新功能:這真的會為用戶帶來實際價值嗎?
微軟高層對于Windows Recall受到的批評顯然始料未及。
CEO 薩提亞·納德拉曾這樣形容 Windows的這項新功能,它不斷對你的 PC 進行“截圖”,以此來記住并理解你在計算機上所做的一切操作,“這是你 PC生活的照相記憶”。
但真正的圈內人士,尤其是安全研究者和隱私專家,顯然對此并不買賬。
Directions on Microsoft的分析師Barry Briggs犀利指出:“微軟是否應該召回Recall?”
除了對于隱私問題的擔憂外,Briggs還強調了Recall與微軟的合規服務Purview結合使用時可能帶來的問題。Purview允許合規團隊監控用戶活動,這可能包括監控電子郵件和Teams聊天,以發現違規行為。
Briggs設想了這樣一個場景:未來的某一天,合規管理員或許能夠通過策略設置悄悄激活Recall,或者執法機構可能要求訪問Recall的本地存儲。
另外,Windows的搜索功能長期亟待改進,而微軟卻決定通過引入Recall擴展其系統潛在的安全風險,以此作為在AI競賽中的成果展示,并推動更多Copilot+ PC的銷售。據此,Briggs發出了靈魂一問:“這一切真的會為用戶增加實際價值嗎?”
2.隱私漏洞大如天:僅用兩行代碼,就能繞過保護措施
令微軟更為頭疼的是,網絡安全研究員Kevin Beaumont在近期拆解了Recall背后的技術,并發現其存在嚴重缺陷,甚至主動撰寫文章披露了他的發現。
Beaumont直白地表示,微軟“應該召回Recall,并重新設計,使其成為應有的功能”。
首先,Windows Recall將其數據存儲在一個完全開放的SQLite明文數據庫中。雖然在未登錄Windows時這部分數據確實是加密的,但這只能防止有人物理性地竊取你的電腦。
而Beaumont指出,這并不是黑客的慣常手段。相反,Recall更容易受到“信息竊取木馬”的攻擊。此外,Recall不會審查或隱藏包含可能出現在屏幕上的敏感信息或憑證的屏幕截圖。
“靜止狀態下的加密只有在有人闖入你家并物理性地偷走你的筆記本電腦時才有幫助——但這并不是黑客的做法,”Beaumont說,“例如,自動竊取用戶名和密碼的信息竊取木馬在過去十多年來一直是一個重大問題——現在,這些木馬只需稍作修改就能輕松支持Recall數據的竊取。”
此外,未加密的數據庫文件只是簡單地存儲在名為“CoreAIPlatform”的新文件夾下的“AppData”中。盡管此文件夾及其包含的文件確實需要管理員權限才能訪問,但微軟承認大多數Windows用戶都是以管理員身份運行的,因此這并不能構成真正有效的安全保護。
Beaumont聲稱,他僅用了兩行代碼就繞過了這些保護措施,訪問到了這些文件。他在Mastodon上表示:“我會稱之為十年來最愚蠢的網絡安全舉措,而且我并沒有夸大其詞。”
在Beaumont看來,Recall更不能讓人容忍的一點是,它實際上屬于可有可無的功能。
"從表面上看,如果你是一家公司經理,手頭任務繁重而時間緊迫,這項功能就很棒,因為它能讓你瞬間搜索到一個月前你做過的關于某個主題的工作內容。但實際上,這類受眾的需求只占Windows用戶基礎中非常小(實際上是微乎其微)的一部分。"
此外,Windows Recall雖然是“可選”的功能,但微軟默認啟用了這一功能。不過,用戶可以在“設置”的“隱私與安全”標簽頁中,關閉“保存快照”選項來禁用它。目前,該功能僅對極小部分用戶群體有所幫助,因此風險與收益相比并不值得。
3.“克隆項目”層出不窮:質疑 Recall,理解 Recall,成為 Recall
就其當前狀態而言,Windows Recall遠非穩妥可靠。大規模的反對聲浪表明,微軟需要對導致Recall發布的技術及決策過程做出一些緊急調整。
不過有趣的是,盡管這一功能飽受詬病,但有人發現,Recall已經激發了一系列旨在模仿其功能的項目,而且不僅僅是在Windows 11上。
來自Windows Central 的評論員Richard Devine提到了一個叫做OpenRecall的開源項目。
該項目被宣傳為:OpenRecall是一個完全開源、以隱私優先的替代專有解決方案(如微軟的Windows Recall或Limitless的Rewind.ai)的選擇。通過OpenRecall,你可以輕松訪問你的數字歷史,增強你的記憶力和工作效率,同時不損害你的隱私。
“它本質上是為了模仿Windows Recall的功能,可以在Windows、Mac和Linux操作系統上運行,而且完全開源。關于最后一點的好處是,既然任何人都可以查看代碼,那么發生惡意行為的可能性就更小了。”
Devine還描述了他的使用體驗:“它似乎以類似于Windows Recall的方式運作,抓取你的屏幕活動截圖并使其可搜索,你可以輸入文本搜索詞進行搜索,也可以通過瀏覽視覺時間線來查找。”
其跨平臺的特性也讓Devine更為滿意。
“這個項目還處于非常早期的階段,但顯示出了潛力,不像微軟自家的版本,它是完全跨平臺的,也支持Mac和Linux。如果你想親自嘗試,你只需要在你的系統上安裝了Git和Python 3.11,安裝步驟在GitHub倉庫中有列出。”
包括OpenRecall在內,僅在GitHub搜索結果的第一頁,Devine就發現了至少四個項目,都是人們試圖構建自己對Windows Recall的理解。“對于一個引起公憤的功能來說,它無疑激發了一些想象。”
參考鏈接:
https://www.theregister.com/2024/06/04/microsoft_analysts_recall
https://www.techspot.com/news/103258-researcher-microsoft-windows-recall-has-security-gaps-you.html
