微軟引以為傲的AI功能Recall再次陷入信任危機。
Windows Recall是微軟為 Copilot+ PC推出的一項極具爭議但也頗具創新性的AI功能。你可以把它想像成電腦的「攝影式記憶」或「時光機」。
簡單來說,它會記錄你在電腦上做過的幾乎所有事情,讓你可以通過自然語言(比如「上周我看的那個紅色沙發的圖片」)輕鬆找回任何文件、網頁或對話。
儘管微軟此前為平息隱私恐慌,為其披上了加密儲存、安全飛地(VBS Enclave)和Windows Hello生物識別認證的「三重鎧甲」,但安全研究員Alexander Hagenah發布的最新工具TotalRecall Reloaded卻像一把利刃,輕易刺穿了這層防禦。
這款工具無需破解加密,也無需繞過生物識別,而是利用了Recall在數據渲染環節的「信任邊界」缺陷。它能在後台靜默潛伏,一旦用戶本人通過Windows Hello驗證,便利用AIXHost.exe進程注入代碼,將Recall捕獲的螢幕快照、聊天記錄、瀏覽歷史等敏感數據「連鍋端」。
面對這一挑戰,微軟的回應顯得頗為強硬:這不屬於安全繞過,也不構成漏洞。微軟認為,既然用戶已經解鎖並通過了身份驗證,那麼數據的訪問就在預期的安全模型之內。然而,研究員對此反駁稱,這恰恰暴露了微軟威脅模型的盲區——防禦機制未能有效防範「潛伏型惡意軟體」在用戶認證後「搭便車」竊取數據。
這場關於「堡壘」是否堅固的攻防戰,再次將AI時代的隱私邊界推向了風口浪尖。如果是你會啟用Recall功能嗎?歡迎留言區留言討論。
