在人工智能技术迅猛发展的今天,科技巨头们正竞相将AI功能集成到日常产品中,却往往忽视了随之而来的安全风险。微软最新推出的Copilot Actions AI代理功能就是一个典型案例。尽管该功能被警告可能感染设备并窃取用户数据,微软仍选择将其推向市场,这一决定引发了安全专家的广泛质疑和批评。
微软Copilot Actions的安全警示
微软在2025年11月发布的一份警告中坦诚,其集成到Windows系统中的Copilot Actions AI代理功能存在严重安全风险。这一"实验性代理功能"虽然默认处于关闭状态,但一旦启用,就能执行"整理文件、安排会议或发送邮件等日常任务",并提供"主动的数字协作者,可以为您执行复杂任务以提高效率和生产力"。
然而,微软在官方文档中明确建议用户,"仅当您理解概述的安全影响时"才应启用Copilot Actions。这一警告基于大多数大型语言模型(包括Copilot)中存在的固有缺陷,这些缺陷已被研究人员多次证明可能导致严重的安全问题。
AI代理的核心安全风险
Copilot Actions面临的安全风险主要来自两个方面:幻觉现象和提示注入攻击。这两种缺陷在当前的大语言模型中普遍存在,且难以从根本上解决。
幻觉现象是指AI模型提供事实错误且不合逻辑的回答,即使是针对最基本的问题也是如此。这种行为意味着用户无法完全信任Copilot、Gemini、Claude或其他任何AI助手的输出,而必须独立验证其结果。对于执行实际任务的AI代理而言,这种不可靠性可能导致严重后果,如错误地删除重要文件或发送错误信息给联系人。
提示注入攻击则更为危险,这是一类允许黑客在网站、简历和电子邮件中植入恶意指令的漏洞。AI模型被编程为急切地遵循指令,无法区分有效用户提示中包含的指令与攻击者在不受信任的第三方内容中创建的指令。结果,AI模型给予攻击者与用户同等的对待,可能导致敏感数据泄露、恶意代码执行或加密货币被盗。
微软在其公告中坦诚:"随着这些功能的引入,AI模型在行为方面仍面临功能限制,偶尔可能会产生幻觉并产生意外输出。此外,代理AI应用引入了新的安全风险,如跨提示注入(XPIA),其中嵌入在UI元素或文档中的恶意内容可以覆盖代理指令,导致意外操作,如数据泄露或恶意软件安装。"
安全专家的严厉批评
面对微软的安全警告,多位安全专家表达了强烈的质疑和批评。独立研究员凯文·博蒙特(Kevin Beaumont)将微软的警告比作几十年来关于Office应用程序中宏使用危险的建议,尽管长期以来一直有这样的建议,宏仍然是黑客秘密在Windows机器上安装恶意软件的最低目标之一。
"微软说'不要启用宏,它们很危险'...从来都不起作用,"博蒙特说,"这就像是服用漫威超级英雄兴奋剂的宏。"
博蒙特经常受雇于企业内部处理重大Windows网络入侵事件,他还质疑微软是否将为管理员提供适当限制终端用户机器上Copilot Actions的方法,或识别网络中已启用该功能设备的手段。
另一位研究员纪尧姆·罗索利尼(Guillaume Rossolini)则表示,"我看不出用户将如何防止他们所提到的任何事情,除了不上网之外。"
责任转移与用户保护缺失
安全专家们普遍认为,微软的警告实际上是一种CYA(保护自己免受指责)的法律策略,旨在将责任从公司转移到用户身上。
批评者里德·米德克(Reed Mideke)指出:"微软(就像整个行业一样)不知道如何阻止提示注入或幻觉,这使得它从根本上不适合任何严肃的应用。解决方案?将责任转移给用户。就像每个LLM聊天机器人都有一个'顺便说一下,如果您将其用于任何重要目的,请务必验证答案'的免责声明一样,完全不考虑如果您知道答案,您首先就不需要聊天机器人。"
这种责任转移的趋势令人担忧。随着AI代理功能从实验性选项逐渐转变为默认启用,用户往往被迫投入时间开发不受支持的方式来移除这些功能,即使他们不信任这些功能。
微软的安全策略分析
微软在其公告中重点阐述了 securing agentic features in Windows 的整体策略,提出了几个关键目标:
- 不可否认性:所有操作和行为必须"可观察且可区分于用户执行的操作"
- 保密性:代理在收集、聚合或利用用户数据时必须保持保密
- 用户批准:代理在访问用户数据或执行操作前必须获得用户批准
这些目标本身是合理的,但最终依赖于用户阅读警告对话框并在继续操作前仔细批准。对于许多用户而言,这降低了保护措施的价值。
加州大学圣地亚哥分校专攻AI安全的教授厄伦斯·费尔南德斯(Earlence Fernandes)指出:"对于依赖用户点击权限提示的机制,通常的警告仍然适用。有时这些用户不完全发生了什么,或者他们可能只是习惯于一直点击'是'。到那时,安全边界实际上就不是一个真正的边界了。"
正如"ClickFix"攻击的激增所证明的那样,许多用户可以被欺骗去遵循极其危险的指令。虽然经验更丰富的用户(包括相当数量的Ars评论者)将归咎于受骗的受害者,但由于多种原因,这类事件是不可避免的。在某些情况下,即使是谨慎的用户也会因为疲劳或情绪困扰而失误。其他用户则 simply 缺乏做出明智决定的知识。
行业趋势与未来展望
微软的Copilot Actions案例并非孤立现象,而是反映了整个科技行业在AI安全治理方面的普遍缺失。苹果、谷歌和Meta等公司将其AI功能集成到产品中的做法往往遵循类似模式:这些集成开始时作为可选功能,最终无论用户是否需要都成为默认功能。
这种快速商业化与安全保障之间的矛盾日益突出。一方面,科技公司急于将AI技术推向市场以保持竞争优势;另一方面,安全研究和防护措施的发展速度远跟不上技术应用的步伐。
企业责任与用户权利
在AI代理功能日益普及的背景下,重新审视企业和用户之间的责任分配变得尤为重要。当前的趋势是将安全责任从企业转移到用户身上,这种做法值得深思。
用户有权知道他们使用的产品存在哪些风险,以及这些风险可能带来的后果。同时,企业有责任确保其产品在推向市场前已经过充分的安全评估,并在发现安全漏洞后及时修复。
技术与监管的平衡
面对AI代理的安全挑战,单纯依靠技术解决方案可能不够。适当的监管框架和行业标准对于确保AI技术的安全应用至关重要。
监管机构需要密切关注AI技术的发展,制定相应的安全标准和合规要求。同时,行业内的合作和知识共享也至关重要,通过建立最佳实践和安全指南,帮助整个行业提高AI产品的安全性。
结论与思考
微软Copilot Actions的安全警示为我们提供了一个重要的思考机会:在追求技术进步的同时,我们是否忽视了安全与隐私的基本保障?AI代理功能虽然能提高效率和生产力,但如果不能解决其固有的安全风险,可能会给用户带来更大的伤害。
科技公司需要重新审视其产品开发策略,将安全性置于与功能性同等重要的位置。同时,用户也需要提高安全意识,谨慎评估新技术可能带来的风险。只有在企业责任、技术发展和用户保护之间找到平衡,AI技术才能真正造福人类社会。
