微软
在遭到隐私和安全性的质疑后,微软上周宣布将Copilot+ PC中的Recall功能由预设改为自愿加入(opt-in)。
5月20日微软偕高通与宏碁、华硕等OEM公布内建AI功能的Copilot+ PC。其中Recall是最具代表性,也是Copilot+ PC专属的功能。它能定期快照记录使用者在PC上的上网或PC活动,可让用户检视并回复之前应用程式执行状态。但这项功能仰赖PC持续搜集资料,引发资安专家稳私疑虑。
图片来源/微软
微软在最新的宣布中指出,由于听到业界应提供启动Recall自主选择的呼吁,微软宣布在Copilot+ PC 6月18日开卖前更新Recall的设定,允许自愿(opt-in)启动,以便储存快照在PC上。如果用户未主动选择启动,它预设是关闭的。其次,要启动Recall,必须注册Windows Hello,而且要在Recall中检视时间轴和搜寻,也必须经过Windows Hello生物验证。第三,微软为Recall再增加一层Windows Hello进阶登入安全(Enhanced Sign-in Security,ESS)的适时(just-in-time)解密防护,只有在用户验证当下可以解密Recall快照,而且微软也加密了搜寻索引资料库。
Recall的作用原理是记录用户在电脑上做的一切事情,再以AI加上索引,将之转成可搜寻的快照。它在搜寻某份文件或某张相片、某档案相当有效,即使用户输入的关键字很模糊。用户也可透过时间轴来查询内容,不管这些内容是存在于应用程式、网站或文件中,Recall也可提出建议。Recall个人化索引结果完全储存在本机上,不会上传云端,还有多重安全防护,像是Recall记录时会清楚告知用户,且不会储存Edge浏览器的隐私上网(InPrivate)快照及数位版权凭证,且允许用户检视、过滤和删除它搜集的快照。
但资安专家仍对Recall有相当疑虑。例如安全专家Kevin Beaumont发现,Recall的快照资料只在用户未登入PC时才会加密,像是电脑被偷、被抢时会启动加密保护。在用户登入电脑情况下,Copilot+ PC系统不会加密,而是存在SQLite明码资料库上,表示这些资料可为人类或应用程式读取。若用户电脑遭植入间谍程式,使用纪录即可能曝险。
《The Register》认为,微软提供的还不够,因为Recall的网站过滤功能仅限使用Edge浏览器时,且无法能根据GDPR规定,在资料控制者删除来源资料后,删除应用程式内曝露的个资,造成处理个资组织的遵法问题。
基于Recall的安全疑虑,英国政府已在上个月底启动调查。