微软最近推出的Copilot Actions功能引发了安全专家的广泛关注和担忧。这一实验性AI助手虽然默认关闭,但已警告可能感染设备并窃取用户敏感数据。这一事件不仅关乎微软一家公司,更反映了整个AI行业在快速创新与安全保障之间的普遍挑战。
微软的警告与专家质疑
微软在周二发布警告,指出其集成到Windows中的实验性AI代理可能会感染设备并窃取敏感用户数据,这引发了安全专家的熟悉质疑:为什么大型科技公司如此急于在充分理解和控制其危险行为之前就推动新功能?
据报道,微软推出了Copilot Actions,这是一套"实验性代理功能",启用后可以执行"日常任务,如整理文件、安排会议或发送电子邮件",并提供"一个积极的数字协作者,可以为您执行复杂任务以提高效率和生产力"。
然而,伴随着这一宣传的是微软发布的重大警告。微软建议用户仅在"理解概述的安全含义"的情况下启用Copilot Actions。
AI系统的固有缺陷
这一告诫基于大多数大型语言模型(包括Copilot)中已知的固有缺陷,研究人员已经反复证明这些缺陷的存在。
幻觉问题
LLM的一个常见缺陷是提供事实错误和逻辑混乱的答案,有时甚至是对最基本的问题也是如此。这种被称为"幻觉"的倾向意味着用户不能信任Copilot、Gemini、Claude或其他任何AI助手的输出,而必须独立验证。
提示注入攻击
另一个常见的LLM隐患是提示注入,这是一类允许黑客在网站、简历和电子邮件中植入恶意指令的漏洞。LLM被编程为如此急切地遵循指令,以至于它们无法区分有效用户提示中的指令与攻击者创建的不可信第三方内容中包含的指令。因此,LLM给予攻击者与用户同等的对待。
这两种缺陷都可以被利用于攻击中,用于窃取敏感数据、运行恶意代码和窃取加密货币。迄今为止,这些漏洞已被证明开发者无法预防,在许多情况下,只能在发现漏洞后使用特定的变通方法修复。
微软在其周二发布的帖子中坦承:"随着这些功能的引入,AI模型在行为方面仍然存在功能局限性,偶尔可能会产生幻觉并产生意外输出。此外,代理AI应用程序引入了新的安全风险,如跨提示注入(XPIA),其中嵌入在UI元素或文档中的恶意内容可以覆盖代理指令,导致意外操作,如数据泄露或恶意软件安装。"
专家对警告有效性的质疑
一些安全专家质疑周二帖子中警告的有效性,将其与微软几十年来关于Office应用中使用宏的危险警告进行比较。尽管长期以来一直有这样的建议,宏仍然是黑客秘密在Windows机器上安装恶意软件时最容易得手的目标之一。部分原因是微软使宏对生产力如此重要,以至于许多用户无法弃用它们。
独立研究员凯文·博蒙特(Kevin Beaumont)表示:"微软说'不要启用宏,它们很危险'...从未奏效过。这就像是超级英雄版的兴奋剂宏。"
博蒙特经常被雇佣处理企业内部的重大Windows网络入侵事件,他还质疑微软是否将提供一种方法让管理员充分限制最终用户机器上的Copilot Actions,或识别网络中已启用该功能的机器。
微软发言人士表示,IT管理员将能够使用Intune或其他MDM(移动设备管理)应用在账户和设备级别启用或禁用代理工作区。
用户保护的局限性
微软强调Copilot Actions是一个默认关闭的实验性功能。这种设计可能是为了限制其访问有经验理解其风险的用户。然而,批评者指出,先前的实验性功能(例如Copilot)随着时间的推移通常会成为所有用户的默认功能。一旦完成,不信任该功能的用户通常需要投入时间开发不受支持的方式来移除这些功能。
研究人员纪尧姆·罗索利尼(Guillaume Rossolini)表示:"我看不出用户将如何防止他们所提到的任何事情,除了不上网猜猜看。"
微软的安全目标
微软周二的帖子主要关注其保护Windows中代理功能的整体战略。此类功能的目标包括:
- 不可否认性,即所有行动和行为必须"可观察且可区分于用户采取的行动"
- 代理在收集、聚合或以其他方式利用用户数据时必须保持机密性
- 代理在访问用户数据或采取行动时必须获得用户批准
这些目标是合理的,但最终它们依赖于用户阅读警告风险的对话框并在继续操作前仔细批准。这反过来又降低了保护措施对许多用户的价值。
加州大学圣地亚哥分校专攻AI安全的教授厄伦斯·费尔南德斯(Earlence Fernandes)告诉Ars:"对于依赖用户点击权限提示的此类机制,通常的警告仍然适用。有时这些用户不完全发生了什么,或者他们可能只是习惯性地一直点击'是'。到那时,安全边界实际上并不是一个边界。"
正如"ClickFix"攻击浪潮所证明的那样,许多用户可以被欺骗去遵循极其危险的指令。虽然经验更丰富的用户(包括相当数量的Ars评论者)指责这些骗局中的受害者,但由于多种原因,这些事件是不可避免的。在某些情况下,即使是谨慎的用户也会感到疲劳或情绪困扰而失误。其他用户则缺乏做出明智决定的知识。
责任转移问题
一位批评者表示,微软的警告几乎等同于CYA(保护自己的屁股),这是一种试图使一方免于法律责任的策略。
批评者里德·米德克(Reed Mideke)表示:"微软(就像行业其他公司一样)不知道如何阻止提示注入或幻觉,这使其从根本上不适合任何严肃的事情。解决方案?将责任转移给用户。就像每个LLM聊天机器人都有'顺便说一下,如果您将其用于任何重要的事情,请务必验证答案'的免责声明一样,完全不考虑如果您已经知道答案,首先就不需要聊天机器人。"
正如米德克所指出的,大多数批评也适用于其他公司(包括苹果、谷歌和Meta)将其集成到产品中的AI产品。这些集成通常开始作为可选功能,并最终成为用户是否想要的默认功能。
