當 Microsoft 發表 Copilot+ 時,它提出的許多功能在網路上引起了一些熱議。然而,在我們看到的所有新 AI 工具中,Recall 功能引起了最多討論。當你使用電腦時,Recall 功能會自動擷取螢幕截圖並在你詢問 Copilot 過去的工作時使用它,你也可以將它視為電腦對你操作的歷程。
安全專家發現 Recall 會保存純文字日誌,並表示它使網路安全倒退十年
Recall 帶來便利同時也帶來疑慮。人們擔心 Recall 可能會帶來巨大的隱私風險,畢竟,如果有人獲得這些日誌的存取權限,他們就可以毫無障礙地看到用戶在過去幾個月中所做的一切。不過,Microsoft 很快就透過聲明所有資料都經過加密來緩解用戶的擔憂,但網路安全專家發現他們認為駭客可以遠端存取的純文字日誌。
根據 The Verge 的報導,Kevin Beaumont 在 X 網站上解釋了他們認為 Recall 是多麼不安全。他們在其中表示,深入研究 Recall 發現其日誌系統只是一個 SQLite 資料庫,而該功能的存在使網路安全倒退了十年。他們建議大家在 Copilot+ 到達後停用 Recall 功能,以防止任何人竊取你的資料。同時,Kevin Beaumont 也在 Double Pulsar 上發表了一篇部落格文章,解釋了他們的發現。如果你想了解 Recall 功能的安全性,這篇文章相當值得一讀。
Microsoft told media outlets a hacker cannot exfiltrate Copilot+ Recall activity remotely.
Reality: how do you think hackers will exfiltrate this plain text database of everything the user has ever viewed on their PC? Very easily, I have it automated.
HT detective pic.twitter.com/Njv2C9myxQ
— Kevin Beaumont (@GossiTheDog) May 30, 2024
如果安全人員說的是真的,那麼如果 Microsoft 依照原樣發表 Recall,則可能陷入困境。如果它如所述一般不安全,我們可能會看到惡意代理尋找從這些資料庫竊取資料的方法。Kevin Beaumont 在他的部落格文章中表示,數據可以遠端造訪,可能為駭客打開大門。然而,你可能會看到一波新的惡意軟體浪潮,他們會定位並竊取人們電腦上的資料庫。到底我們該相信誰?是安全公司還是 Microsoft?我們可以拭目以待。
