微软近日对其Windows系统中的Copilot Actions功能发布安全警告,指出这一AI代理特性可能导致设备感染和数据泄露。这一警告引发了安全专家和行业分析师的广泛质疑,人们质疑科技巨头为何急于推出未经充分测试的功能。本文深入分析了Copilot Actions的安全隐患,探讨了微软的安全策略是否足够,以及这些AI代理功能如何从实验性选项逐渐演变为默认功能。
微软警告背后的安全隐患
微软在周二发布的警告中承认,其集成到Windows系统中的实验性AI代理Copilot Actions存在安全风险,可能导致设备感染和数据泄露。Copilot Actions被描述为"实验性代理功能",启用后可以执行"组织文件、安排会议或发送电子邮件等日常任务",并提供"主动的数字协作者,可以为您执行复杂任务以提高效率和生产力"。
然而,这份公告伴随着一个重要的警示:微软建议用户仅当"您理解概述的安全含义"时才启用Copilot Actions。这一警告基于大多数大型语言模型(包括Copilot)中存在的已知缺陷,研究人员已经多次证明这些缺陷可能导致严重的安全问题。
AI模型的固有缺陷
最常见的一种缺陷是AI模型提供事实错误和逻辑混乱的答案,即使是针对最基本的问题也是如此。这种行为被称为"幻觉",意味着用户不能信任Copilot、Gemini、Claude或其他任何AI助手的输出,而必须独立验证其结果。
另一种常见的AI模型陷阱是"提示注入",这是一类允许黑客在网站、简历和电子邮件中植入恶意指令的漏洞。AI模型被编程为急切地遵循指令,无法区分有效用户提示中的指令与攻击者创建的不可信第三方内容中的指令。因此,AI模型给予攻击者与用户同等的对待。
这两种缺陷都可以被利用来实施数据泄露、运行恶意代码和窃取加密货币的攻击。迄今为止,这些漏洞被证明是开发者无法预防的,在许多情况下,只能在发现漏洞后使用特定的变通方法来解决。
微软的安全策略:足够还是不足?
微软在其公告中坦诚承认:"随着这些功能的引入,AI模型在行为方面仍存在功能限制,偶尔可能会产生幻觉并产生意外输出。此外,代理AI应用程序引入了新的安全风险,例如跨提示注入(XPIA),其中嵌入在UI元素或文档中的恶意内容可以覆盖代理指令,导致意外操作,如数据泄露或恶意软件安装。"
微软表示,只有经验丰富的用户才应该启用Copilot Actions,该功能目前仅在Windows的测试版本中可用。然而,该公司没有描述这些用户应该接受什么样的培训或拥有什么样的经验,或者他们应该采取什么措施来防止设备被入侵。
安全专家的质疑
一些安全专家质疑周二公告中警告的价值,将其比作微软几十年来关于使用Office应用程序中宏的危险性的警告。尽管长期以来一直有这样的建议,但宏仍然是黑客秘密在Windows机器上安装恶意软件的最低 hanging fruit(最容易得手的目标)。
独立研究员Kevin Beaumont表示:"微软说'不要启用宏,它们很危险'...从来没有很好地起过作用。这就像是吃了漫威超级英雄兴奋剂的宏。"
Beaumont经常被雇佣来处理企业内部的重大Windows网络入侵事件,他还质疑微软是否会提供一种方法让管理员充分限制最终用户设备上的Copilot Actions,或者识别网络中已开启该功能的设备。
微软发言人表示,IT管理员将能够使用Intune或其他MDM(移动设备管理)应用程序在账户和设备级别启用或禁用代理工作区。
从实验功能到默认:AI功能的演变
微软强调,Copilot Actions是一个默认关闭的实验性功能。这种设计可能是为了限制其访问那些具有理解所需风险经验的用户。然而,批评者指出,先前的实验性功能——例如Copilot——随着时间的推移,通常会逐渐成为所有用户的默认功能。一旦发生这种情况,不信任该功能的用户通常需要投入时间开发不受支持的方式来移除这些功能。
与Office宏的历史相似性
安全专家将Copilot Actions与Office宏进行了比较,认为它们存在相似的安全风险。宏长期以来一直是恶意软件传播的主要途径,尽管微软多年来一直警告用户不要启用来自不受信任来源的宏,但许多用户仍然这样做,因为他们发现这些宏对提高生产力至关重要。
Beaumont的比喻"这就像是吃了漫威超级英雄兴奋剂的宏"生动地描述了Copilot Actions可能带来的风险:比传统宏更强大、更自主,但也可能更危险。
微软的安全目标:理想与现实的差距
微软在周二的公告中重点介绍了其保护Windows中代理功能的整体战略。这些目标包括:
- 不可否认性:所有操作和行为必须是"可观察的,并与用户采取的操作有所区别"
- 保密性:代理在收集、聚合或以其他方式利用用户数据时必须保持保密
- 用户批准:代理在访问用户数据或采取行动时必须获得用户批准
这些目标听起来很合理,但最终它们依赖于用户阅读警告风险的对话框,并在继续操作前仔细批准。这反过来又降低了保护措施对许多用户的价值。
加州大学圣地亚哥分校专攻AI安全的教授Earlence Fernandes告诉Ars:"对于依赖用户点击通过权限提示的此类机制,通常的警告仍然适用。有时这些用户不完全发生了什么,或者他们可能只是习惯于一直点击'是'。在这种情况下,安全边界实际上并不是真正的边界。"
正如"ClickFix"攻击所证明的那样,许多用户可以被欺骗去遵循极其危险的指令。虽然更有经验的用户(包括相当数量的Ars评论者)将归咎于这些骗局中的受害者,但由于多种原因,此类事件是不可避免的。在某些情况下,即使是谨慎的用户也会感到疲劳或在情感压力下失误,从而导致错误。其他用户则缺乏做出明智决策的知识。
行业反思:AI安全责任谁承担?
批评者表示,微软的警告不过是一种CYA(保护自己屁股)的法律策略,试图使一方免于承担责任。
批评者Reed Mideke表示:"微软(就像行业中的其他公司一样)不知道如何阻止提示注入或幻觉,这使得它从根本上不适合任何严肃的事情。解决方案?将责任转移给用户。就像每个LLM聊天bot都有'顺便说一下,如果您将其用于任何重要的事情,请务必验证答案'的免责声明一样,不管如果您知道答案,您首先就不需要聊天机器人。"
正如Mideke所指出的,大多数批评也适用于其他公司(包括苹果、谷歌和Meta)集成到其产品中的AI产品。这些集成通常开始作为可选功能,最终无论用户是否想要,都成为默认功能。
用户教育的局限性
微软的安全策略在很大程度上依赖于用户理解风险并做出明智决定的能力。然而,研究表明,大多数用户缺乏评估复杂安全风险的必要知识或注意力。
在AI时代,这一问题变得更加复杂,因为AI系统的行为往往是不透明且不可预测的。用户被告知不要相信AI的输出,但同时又鼓励他们使用AI来提高生产力。这种矛盾的信息可能导致用户对AI风险产生错误的认知。
结论:AI安全需要多方协作
微软的Copilot Actions警告揭示了AI安全领域的一个根本性挑战:随着AI系统变得越来越强大和自主,确保其安全使用的责任应该由谁来承担?
目前,科技巨头倾向于将责任转移给用户,通过警告和免责声明来保护自己。然而,这种方法在现实世界中效果有限,因为大多数用户缺乏评估复杂AI风险的必要知识或注意力。
真正的解决方案需要多方协作:科技公司需要开发更安全的AI系统,政府需要制定适当的监管框架,而研究人员则需要继续探索AI安全的新方法。同时,用户教育也至关重要,但必须以易于理解和实际应用的方式进行。
在AI技术飞速发展的今天,安全不能再是事后考虑的因素,而应该成为设计和开发过程中的核心组成部分。只有这样,我们才能确保AI技术真正造福人类,而不是成为新的安全威胁。
