微软最新推出的Copilot Actions AI功能被曝存在严重安全漏洞,可能导致设备感染和数据泄露。尽管微软已发布警告称该功能存在"幻觉"和"提示注入"等风险,但安全专家普遍质疑这种警告的实际效果,认为与过去对Office宏的警告如出一辙。本文深入分析AI代理功能的安全隐患,探讨微软在追求创新与保障安全之间的矛盾,以及当前AI技术面临的根本性安全挑战。
微软警告背后的安全风险
微软在周二发布警告称,集成到Windows中的实验性AI代理Copilot Actions可以感染设备并窃取敏感用户数据。这一警告引发了安全专家的熟悉质疑:为什么大型科技公司如此急于推出新功能,而在其危险行为得到充分理解和控制之前就急于推广?
Copilot Actions是一套"实验性代理功能",启用后可以执行"日常任务,如整理文件、安排会议或发送邮件",并提供"积极的数字协作者,可以为您执行复杂任务以提高效率和生产力"。
然而,伴随这一功能发布的还有重要警示:微软建议用户仅在"理解概述的安全含义"的情况下启用Copilot Actions。这一警告基于大多数大型语言模型(包括Copilot)中存在的固有缺陷,研究人员已经多次证明这些缺陷可以被利用。
LLM的根本性缺陷:幻觉与提示注入
大语言模型(LLM)存在两种常见缺陷,都可能导致严重的安全问题:
幻觉问题
一种常见的LLM缺陷是它们提供事实错误和逻辑矛盾的答案,有时甚至是最基本的问题。这种被称为"幻觉"的行为意味着用户不能信任Copilot、Gemini、Claude或其他任何AI助手的输出,而必须独立确认。
提示注入攻击
另一种常见的LLM隐患是"提示注入",这是一类允许黑客在网站、简历和电子邮件中植入恶意指令的漏洞。LLM被编程为急于遵循指令,以至于无法区分用户提示中的有效指令与攻击者创建的不可信第三方内容中包含的指令。因此,LLM给予攻击者与用户同等的尊重。
这两种缺陷都可以被用于攻击,从而泄露敏感数据、运行恶意代码和窃取加密货币。迄今为止,这些漏洞已被证明开发者无法预防,在许多情况下,只能在发现漏洞后使用特定的变通方法修复。
微软在其帖子中披露了这一重大信息:
"随着这些功能的引入,AI模型在行为方面仍然存在功能限制,偶尔可能会产生幻觉并产生意外输出。此外,代理AI应用引入了新的安全风险,如跨提示注入(XPIA),其中嵌入在UI元素或文档中的恶意内容可以覆盖代理指令,导致意外操作,如数据泄露或恶意软件安装。"
专家质疑警告的实际效果
一些安全专家质疑周二帖子中警告的价值,将其与微软几十年来关于Office应用中使用宏的危险的警告进行了比较。尽管长期以来一直有这样的建议,宏仍然是黑客试图在Windows机器上秘密安装恶意软件时最容易得手的目标之一。这是因为微软使宏对生产力如此重要,以至于许多用户无法不使用它们。
独立研究员Kevin Beaumont表示:"微软说'不要启用宏,它们很危险'...从来效果不佳。这就像是超级英雄服用了兴奋剂的宏。"
Beaumont经常被雇佣来应对企业内部主要的Windows网络入侵事件,他还质疑微软是否会提供一种方法,让管理员能够充分限制最终用户机器上的Copilot Actions,或识别网络中已启用该功能的机器。
微软发言人表示,IT管理员将能够使用Intune或其他MDM(移动设备管理)应用程序,在账户和设备级别启用或禁用代理工作区。
安全责任转移的担忧
批评者表达了其他担忧,包括即使是经验丰富的用户也难以检测针对他们使用的AI代理的利用攻击。
研究员Guillaume Rossolini表示:"我看用户将如何防止他们所提到的任何事情,除了不上网之外,我猜是这样。"
微软强调Copilot Actions是一个默认关闭的实验性功能。这种设计可能是为了限制其访问具有理解所需风险经验用户。然而,批评者指出,先前的实验性功能(例如Copilot)随着时间的推移通常会成为所有用户的默认功能。一旦完成,不信任该功能的用户通常需要投入时间开发不受支持的方式来删除这些功能。
微软的安全目标
周二的帖子主要集中在微软在Windows中保护代理功能的整体战略。这些功能的目标包括:
- 不可否认性,即所有操作和行为必须"可观察且与用户采取的操作可区分"
- 代理在收集、聚合或以其他方式利用用户数据时必须保持机密性
- 代理在访问用户数据或采取行动时必须获得用户批准
这些目标是合理的,但最终它们依赖于用户阅读警告对话框,并在继续操作前要求仔细批准。这反过来降低了保护措施对许多用户的价值。
加州大学圣地亚哥分校专攻AI安全的教授Earlence Fernandes告诉Ars:"对于这种依赖用户点击权限提示的机制,通常的警告适用。有时这些用户不完全发生了什么,或者他们可能只是习惯性地一直点击'是'。在这种情况下,安全边界实际上并不是真正的边界。"
正如"ClickFix"攻击浪潮所证明的那样,许多用户可以被欺骗遵循极其危险的指令。虽然更有经验的用户(包括相当数量的Ars评论者)指责成为骗局的受害者,但这些事件的发生是不可避免的,原因有很多。在某些情况下,即使是谨慎的用户也会感到疲惫或在情绪困扰下失误。其他用户则 simply 缺乏做出明智决定的知识。
批评者之一表示,微软的警告无异于CYA(cover your ass的缩写),这是一种试图保护一方免于法律责任的策略。
批评者Reed Mideke表示:"微软(就像行业中的其他人一样)不知道如何阻止提示注入或幻觉,这使其从根本上不适合任何严肃的事情。解决方案?将责任转移给用户。就像每个LLM聊天机器人都有'顺便说一下,如果您将其用于任何重要的事情,请务必验证答案'的免责声明一样,不管您如果知道答案首先就不需要聊天机器人。"
行业普遍面临的AI安全挑战
正如Mideke所指出的,大多数批评也适用于其他公司(包括苹果、谷歌和Meta)将其集成到产品中的AI产品。这些集成通常开始作为可选功能,最终成为所有用户的默认功能,无论用户是否需要。
结论:AI安全与创新的平衡难题
微软Copilot Actions的安全争议反映了当前AI技术发展面临的核心挑战:如何在追求创新功能的同时确保用户安全。尽管微软提出了明确的安全目标,但技术本身的缺陷使得这些目标难以完全实现。
安全专家的担忧不无道理——当技术本身存在无法完全修复的漏洞时,将责任完全转移给用户并非长久之计。企业和个人用户都需要认识到,当前的AI代理技术仍处于实验阶段,存在不可忽视的安全风险。
未来,AI开发者需要在技术安全边界、用户教育、监管框架等方面做出更多努力,才能在推动技术进步的同时,真正保障用户数据安全和隐私权益。对于企业用户而言,在采用这类新技术时,必须进行充分的风险评估,制定相应的安全防护措施。
图:微软Copilot Actions功能的界面示意,展示了AI代理可能带来的安全挑战
