2024-06-30 20:15 来源:本站编辑
微软表示,它将在Windows 11中推出新的“召回”功能,该功能将截屏你在电脑上的所有操作,这是一项可选择的功能,并解决了各种安全问题。上个月,作为即将推出的Copilot Plus个人电脑的一部分,这家软件巨头首次推出了召回功能,但自那以后,隐私倡导者和安全专家一直警告称,如果不做出改变,召回可能会成为网络安全的“灾难”。
值得庆幸的是,微软已经听取了这些抱怨,并在6月18日Copilot Plus pc发布之前做出了一些改变。微软原本计划默认开启召回功能,但该公司现在表示,将在新款Copilot Plus电脑的设置过程中提供禁用这一备受争议的人工智能功能的功能。“如果你不主动选择打开它,它将默认关闭,”Windows主管帕万·达乌卢里说。
微软还将要求Windows Hello启用召回功能,所以你可以用脸部、指纹或个人识别码进行身份验证。达乌鲁里说:“此外,查看你的时间线和在回忆中搜索也需要存在证明。”这样别人就无法在没有验证的情况下开始搜索你的时间线。
此身份验证还将应用于围绕Recall创建的快照的数据保护。Davuluri解释说:“我们正在增加额外的数据保护层,包括由Windows Hello增强登录安全(ESS)保护的'及时'解密,因此只有在用户身份验证时才能解密和访问召回快照。”“此外,我们对搜索索引数据库进行了加密。”
Recall使用本地人工智能模型来截图你在电脑上看到或做的大部分事情,然后让你能够在几秒钟内搜索和检索任何东西。一个可探索的时间轴可以让你轻松地滚动这些快照,回顾你在某一天在电脑上做了什么。《回忆》中的所有内容都被设计成在设备上保持本地和私有,因此不会使用任何数据来训练微软的人工智能模型。
在网络安全专家凯文·博蒙特(Kevin Beaumont)发现微软的人工智能功能目前以纯文本形式将数据存储在数据库中之后,微软改变了数据库的存储和访问方式。这可能使恶意软件作者很容易创建提取数据库及其内容的工具。最近几天出现了几个工具,有望窃取召回数据。
TotalRecall提取Recall数据库,以便您可以轻松查看存储的文本和微软功能生成的屏幕截图。NetExec似乎很快就会获得自己的召回模块,可以访问召回文件夹并转储它们,以便您可以轻松查看截图。这些工具都是可能的,因为目前在召回数据库上没有完全的加密或保护。
微软根据其新的安全未来计划(SFI)开发了召回功能,该计划是为了在Azure云遭受重大攻击后彻底检查其软件安全。微软已经经历了几年的网络安全事件,SFI应该把安全放在首位。
微软首席执行官萨蒂亚·纳德拉最近甚至呼吁员工将安全作为微软的“头等大事”,即使这意味着安全优先于新功能。“如果你面临着安全与其他优先事项之间的权衡,你的答案很明确:做安全,”纳德拉(强调他的)在the Verge获得的一份内部备忘录中说。“在某些情况下,这意味着安全优先于我们所做的其他事情,比如发布新功能或为遗留系统提供持续支持。”
Davuluri在今天的回应中引用了微软的SFI原则,指出公司正在采取行动提高召回安全性。但这似乎很大程度上是由于安全研究人员标记了这些问题,而不是微软自己的安全原则,因为这些问题应该在发布之前就被内部标记出来。
微软还强调,召回将只在新的Copilot Plus电脑上使用,这款电脑被设计为具有高级固件保护的安全核心电脑,并配备了该公司的Pluton安全处理器,旨在防止个人数据被盗。
达乌卢里表示:“我们将一如既往地听取客户的意见,向他们学习,包括消费者、开发者和企业,以对他们有意义的方式改进我们的体验。我们将继续为客户打造这些新的功能和体验,优先考虑隐私、安全和保障。”我们仍然感谢充满活力的客户社区,他们继续与我们分享他们的反馈。”
