在人工智能技术迅猛发展的今天,科技巨头们竞相将AI功能集成到日常产品中,却往往忽视了这些创新可能带来的安全风险。微软最新推出的Copilot Actions AI代理功能就陷入了这样的争议漩涡。尽管微软警告这一功能可能"感染设备并窃取敏感用户数据",但安全专家们质疑,为何科技巨头们如此急于推广尚未完全理解其危险行为的新功能?
Copilot Actions:便利与风险并存
微软在周二宣布推出Copilot Actions,这是一套"实验性代理功能",启用后可以执行"组织文件、安排会议或发送邮件等日常任务",并提供"一个积极的数字协作者,可以为您执行复杂任务以提高效率和生产力"。
然而,伴随着这一功能的隆重推出,微软也提供了一个重要的警示:建议用户仅在"了解概述的安全含义"的情况下启用Copilot Actions。
这一警告基于大多数大型语言模型(包括Copilot)中存在的固有缺陷,研究人员已多次证明这些缺陷的存在。例如,黑客可以读取 supposedly 私密的AI助手聊天内容,即使这些内容已被加密;新的黑客技术利用提示注入来破坏Gemini的长期记忆;Copilot曾意外暴露私人GitHub页面;AI聊天机器人能够读取和写入不可见文本,创造理想的隐蔽通道。
AI代理面临的核心安全挑战
幻觉现象:不可信赖的AI助手
大型语言模型的一个常见缺陷是它们会提供事实错误且不合逻辑的答案,有时甚至是对最基本的问题。这种被称为"幻觉"的倾向意味着用户不能信任Copilot、Gemini、Claude或任何其他AI助手的输出,而必须独立确认。
在Copilot Actions的上下文中,幻觉可能导致AI代理执行错误的文件操作、安排错误的会议或发送给错误收件人的邮件,甚至可能泄露敏感信息。例如,AI可能会错误地识别机密文件为普通文件,并将其包含在自动生成的报告中。
提示注入攻击:隐藏的指令威胁
另一个常见的AI"地雷"是提示注入,这是一类允许黑客在网站、简历和电子邮件中植入恶意指令的漏洞。AI代理被编程为如此急切地遵循指令,以至于它们无法区分有效用户提示中的指令与攻击者创建的不可信第三方内容中包含的指令。因此,AI代理给予攻击者与用户同等的对待。
这两种缺陷都可以被用于攻击,目的是提取敏感数据、运行恶意代码和窃取加密货币。到目前为止,这些漏洞已被证明开发人员无法预防,在许多情况下,只能在发现漏洞后使用特定于错误的解决方法来修复。
微软在其周二的文章中坦率承认了这一挑战:"随着这些能力的引入,AI模型在行为方面仍然存在功能局限性,偶尔可能会产生幻觉并产生意外输出。此外,代理AI应用程序引入了新的安全风险,如跨提示注入(XPIA),其中嵌入在UI元素或文档中的恶意内容可以覆盖代理指令,导致意外操作,如数据泄露或恶意软件安装。"
安全专家的批评与质疑
"漫威超级英雄兴奋剂上的宏"
一些安全专家质疑周二发布警告的价值,将其与微软几十年来关于Office应用中使用宏的危险性的警告进行比较。尽管长期以来一直有这样的建议,但宏仍然是黑客秘密在Windows机器上安装恶意软件时最容易得手的目标之一。部分原因是微软使宏对生产力如此重要,以至于许多用户无法不使用它们。
独立研究员凯文·博蒙特(Kevin Beaumont)表示:"微软说'不要启用宏,它们很危险'...从来效果不佳。这就像是漫威超级英雄兴奋剂上的宏。"
博蒙特经常被雇佣来处理企业内部的重大Windows网络入侵事件,他还质疑微软是否会为管理员提供适当限制最终用户机器上Copilot Actions的方法,或识别网络中已启用该功能的机器。
微软发言人表示,IT管理员将能够使用Intune或其他移动设备管理(MDM)应用程序在账户和设备级别启用或禁用代理工作区。
用户难以察觉的攻击
批评者提出了其他担忧,包括即使是经验丰富的用户也难以检测针对他们正在使用的AI代理的利用攻击。
研究员纪尧姆·罗索利尼(Guillaume Rossolini)说:"我看不出用户将如何防止他们所指的任何事情,除了可能不上网。"
责任转移:从公司到用户
微软强调Copilot Actions是一个默认关闭的实验性功能。这种设计可能是为了限制其访问那些有经验理解其风险的用户。然而,批评者指出,先前的实验性功能(例如Copilot)随着时间的推移通常会成为所有用户的默认功能。一旦完成,不信任该功能的用户通常需要投入时间开发不受支持的方式来删除这些功能。
加州大学圣地亚哥分校专攻AI安全的教授厄伦斯·费尔南德斯(Earlence Fernandes)告诉Ars:"适用于此类机制的通常警告同样适用,这些机制依赖用户点击通过权限提示。有时这些用户不完全发生了什么,或者他们可能只是习惯于一直点击'是'。到那时,安全边界实际上并不是真正的边界。"
正如"ClickFix"攻击浪潮所证明的,许多用户可以被诱骗遵循极其危险的指令。虽然更多经验丰富的用户(包括相当数量的Ars评论者)指责这些骗局受害者的受害者,但这些事件由于多种原因是不可避免的。在某些情况下,即使是谨慎的用户也可能因为疲劳或情绪困扰而失误。其他用户 simply 缺乏做出明智决定的知识。
批评者之一里德·米德克(Reed Mideke)表示:"微软(就像行业其他公司一样)不知道如何阻止提示注入或幻觉,这使其从根本上不适合任何严肃的事情。解决方案?将责任转移给用户。就像每个LLM聊天机器人都有'顺便说一下,如果您将其用于任何重要的事情,请务必验证答案'的免责声明一样,不管如果您已经知道答案,您首先就不需要聊天机器人。"
微软的安全策略:目标崇高但执行存疑
微软周二的大部分文章集中在微软为保护Windows中代理功能的整体安全策略上。此类功能的目标包括:
- 不可否认性,即所有行为和行动必须"可观察且与用户采取的行动区分开来"
- 代理在收集、聚合或以其他方式利用用户数据时必须保持机密性
- 代理在访问用户数据或采取行动时必须获得用户批准
这些目标是合理的,但最终它们依赖于用户阅读警告风险的对话框,并在继续之前仔细批准。这反过来又降低了保护对许多用户的价值。
行业困境:AI安全的集体挑战
正如米德克所指出的,大多数批评也适用于其他公司(包括苹果、谷歌和Meta)将其产品集成的AI产品。这些集成通常开始作为可选功能,并最终成为用户是否想要的默认功能。
这引发了一个更广泛的问题:在追求创新和速度的同时,科技公司是否充分重视了AI安全?随着AI代理变得越来越自主和强大,它们可能造成的潜在损害也在增加。从窃取个人数据到操纵关键系统,风险范围不断扩大。
用户的自我保护策略
在科技公司解决这些根本问题之前,用户可以采取以下措施保护自己:
谨慎启用实验性功能:像Copilot Actions这样的功能应该被视为高风险,除非您完全理解其工作原理和潜在风险。
定期检查应用权限:定期审查应用程序对您的数据和系统功能的访问权限,撤销不必要的权限。
保持软件更新:确保您的操作系统和应用程序是最新的,以获得最新的安全修复程序。
培养安全意识:警惕可疑的电子邮件、消息和网站,特别是那些要求您采取行动的内容。
备份重要数据:定期备份重要文件,以防数据被勒索软件或恶意软件加密。
未来展望:AI安全的可能路径
面对这些挑战,AI安全领域可能的发展方向包括:
技术解决方案:开发更先进的提示注入检测和缓解技术,以及减少AI幻觉的方法。
行业标准:制定AI安全标准和最佳实践,为行业提供指导。
监管框架:政府可能介入制定AI安全法规,要求公司在发布AI功能前进行严格的安全评估。
用户教育:提高用户对AI风险的认识,使他们能够做出更明智的决定。
责任明确:明确AI系统造成损害时的责任归属,确保公司对其产品的安全负责。
结论
微软Copilot Actions的争议反映了整个AI行业在快速创新与安全保障之间的张力。虽然AI代理承诺带来巨大的便利和效率提升,但它们也引入了新的安全风险,而这些风险目前尚未得到充分解决。
批评者认为,科技公司通过警告用户并将责任转移给他们来规避自己的责任。然而,随着AI变得越来越强大和自主,这种做法可能不再可持续。未来,我们需要在享受AI带来的便利的同时,确保其安全性得到应有的重视和投入。
对于用户而言,保持警惕和采取预防措施至关重要。在科技公司和监管机构制定更全面的解决方案之前,自我保护将是抵御AI相关风险的第一道防线。
