備受爭議的 Microsoft Recall 功能已重返 Windows Insider 預覽版本,雖然承諾提供更強的安全效能,但最新測試顯示其在保護使用者敏感資訊方面仍存在明顯漏洞。這款基於人工智慧的桌面監控工具旨在為計算機活動建立可搜尋的記憶,儘管採取了增強的安全措施,但仍引發了嚴重的隱私擔憂。
隱私過濾功能表現不穩定
Recall 中預設啟用的過濾敏感資訊設定在保護敏感資料方面顯示出不一致的效果。雖然能夠成功阻止在 Pimoroni 和 Adafruit 等主要電商平臺上的信用卡資訊,但在常見場景中無法識別敏感資料。測試表明,即使啟用了隱私過濾功能,在記事本、PDF表格和自定義HTML表單中輸入的信用卡號碼、社會安全號碼和個人資訊仍會被捕獲。
過濾器效能表現:
- 成功:主要電商支付頁面
- 失敗:Notepad 文字輸入
- 失敗:PDF 表單填寫
- 失敗:自定義 HTML 表單
- 失敗:帶有明確信用卡標籤的常規文字輸入
Recall 功能捕獲了社會安全號碼等敏感資料,引發了重大的隱私安全擔憂 |
安全性改進與持續存在的問題
Microsoft 透過對捕獲的截圖和資料庫檔案實施加密,解決了早期的安全性批評。該功能現在需要 Windows Hello 認證才能訪問,並採用自主選擇加入機制。然而,系統依賴PIN碼作為備選驗證方式可能會削弱其安全性,因為遠端訪問工具僅需一個4位PIN碼就能繞過生物識別要求。
主要安全功能:
- 加密截圖儲存
- Windows Hello 身份驗證要求
- 自主選擇啟用
- 預設敏感資訊過濾
- 資料庫位置:C:\users[使用者名稱]\AppData\Local\CoreAIPlatform.00\UKP{編號}
Windows Hello 身份驗證提示使用者確保其對 Recall 快照的訪問安全 |
資料儲存與訪問性
Recall 將資料儲存在加密的資料庫檔案(ukg.db)中,截圖則儲存在 AsymStore 子資料夾中,相比之前的明文儲存都顯示出安全性的提升。雖然這些檔案透過常規方式似乎無法訪問,但考慮到所捕獲資訊的敏感性質,未經授權訪問的潛在風險仍然存在。
展示 Microsoft Recall 改進後的加密資料儲存的 AsymStore 目錄 |
Microsoft 的回應與未來發展
Microsoft 承認需要改進,表示將透過使用者反饋繼續增強過濾功能。該公司鼓勵使用者透過反饋中心報告敏感資訊未被正確過濾的情況。然而,一個根本性的問題仍然存在:基於人工智慧的過濾器是否能在各種使用場景下可靠地識別和保護所有形式的敏感資訊。
對使用者的影響
Recall 的當前實現對經常處理敏感資訊的使用者來說存在顯著的隱私風險。雖然該功能在數字記憶和生產力方面具有潛在優勢,但其無法持續保護敏感資料的缺陷表明,使用者在啟用此功能之前應該認真權衡其利弊得失。