微软的AI功能Recall,旨在记录用户电脑操作以供搜索,在实际测试中暴露出严重的隐私安全问题。尽管Recall具备“敏感信息过滤”机制,但测试显示该机制在过滤信用卡号、密码、社会保障号码(SSN)等方面存在多处失效情况,可能导致个人敏感信息泄露。即使是默认开启的过滤功能,也无法完全识别并排除用户不愿公开的网络历史记录,如医疗史或涉及个人生活的敏感内容。此外,任何知晓用户PIN码的人都可以访问所有截屏记录,进一步加剧了安全风险。虽然在某些场景下Recall能成功过滤部分敏感信息,但其整体的过滤效果仍不尽如人意,这引发了对用户隐私保护的担忧,尤其是在该功能被设计为Copilot+ PC专属功能的情况下。
🚨 **Recall敏感信息过滤机制存在严重缺陷:** 尽管微软为Recall功能加入了“敏感信息过滤”机制,旨在排除信用卡号、密码等个人敏感信息,但实际测试表明,该过滤机制存在多处失效情况。例如,在模拟网购场景下,当移除“结算页”“支付信息”等标识词,仅保留信用卡号、有效期和CVC码时,Recall仍会进行截图;对于纯文本密码列表,如果未添加标识词,Recall也无法有效屏蔽。
🔒 **密码和SSN信息泄露风险高:** Recall在处理密码和SSN信息时表现出不稳定性。虽然能屏蔽Chrome密码管理器和带有明确标识的文本文件,但对于未添加标识词的纯文本密码列表则无能为力。在SSN的处理上,即使是简单的标识符变化(如将“My SS#:”改为“Soc:”),也会导致Recall从完整泄露变为仅截取部分数字,表明其识别逻辑的脆弱性。
🌐 **网络历史记录和个人隐私保护不足:** Recall不仅在结构化数据上存在过滤漏洞,也未能有效识别和过滤用户不愿公开的网络历史记录,如医疗史或涉及个人生活的敏感内容。这意味着用户在浏览这些内容时,其操作记录仍可能被Recall捕获并存储,对个人隐私构成潜在威胁。
🔑 **访问控制薄弱,PIN码成关键:** Recall功能的安全性还取决于访问控制机制。测试发现,任何能够获知用户PIN码(且支持远程访问)的人,均可查看Recall记录的所有截屏内容。这一设计使得PIN码成为用户隐私安全的关键,一旦PIN码泄露,所有存储的个人操作记录将暴露无遗。
🧐 **过滤效果不稳定,场景依赖性强:** 尽管Recall在部分场景下表现尚可,例如成功过滤了银行账户的账号和ABA routing号码,以及在微软账户添加信用卡时的卡号信息,但其整体过滤效果不稳定且高度依赖于内容的呈现方式和标识。这种场景依赖性使得用户难以完全依赖Recall的过滤功能来保障个人隐私安全。
IT之家 8 月 2 日消息,The Register 昨日发现,微软 AI 功能 Recall 功能虽具备“敏感信息过滤”机制,但实测发现这一机制多处失效,可能导致信用卡号码、密码等个人信息泄露,恐成为不法分子的“金矿”。
Recall 于 2024 年作为 Copilot+ PC 专属功能推出,可持续截屏记录用户电脑操作以便后续搜索。
实际上,研究人员早在发布时就发现该功能存在严重安全隐患(IT之家注:前微软员工 Kevin Beaumont 称其数据库明文存储),微软随后迅速撤回,并在 2024 年秋季重新推出了“更安全的版本”。
The Register 表示,Recall 默认开启的敏感信息过滤功能本应排除信用卡号及密码等数据,但实测表明该过滤机制频繁失效。更严重的是,Recall 无法识别用户可能不愿公开的网络历史记录(如医疗史或涉及个人生活的敏感内容)。此外,任何获知用户 PIN 码者(支持远程访问)均可查看所有截屏记录。
为了验证 Recall 敏感信息的过滤效果,测试人员在一台联想 Yoga Slim 7x 上尝试输入多种敏感数据。该功能成功排除了大部分财务数据、某些密码及多数社会保障号码。
登录银行账户时,Recall 截取了银行首页和余额页面,但正确过滤掉了包含账号和 ABA routing 号码的页面。这意味着攻击者就算通过这一方式获取到了用户银行名称及余额,也无法直接获取凭证或账号。
Recall 在网购场景表现尚可:于微软账户添加信用卡时,截图会自动隐去卡号、CVC 及有效期;在自制信用卡表单中亦成功过滤数据,但当移除“结算页”“支付信息”等字样,仅保留信用卡号、有效期及 CVC 码时,Recall 仍会进行截图。
密码存储方面,Recall 成功屏蔽谷歌 Chrome 密码管理器内容,亦能过滤含“用户名”“密码”字段的文本文件,但当纯文本密码列表未添加标识词时就失去了作用。
对于社会安全号码(SSN),如果 Word 文档中标注“My SS#:”前缀的 SSN 号码,Recall 仅会截取前三位数字,但前缀改为“Soc:”时则完整泄露。
登录 PayPal 时,Recall 会默认截取含用户名的登录页(密码被屏蔽),但不会截取交易记录页。
其他:如果是完整显示的护照照片可被顺利过滤,但如果只是部分则依然会被截图。
