微软近期对其Windows系统中的Copilot Actions AI代理发出警告,称这一实验性功能可能导致设备感染和数据窃取。这一声明立即引发了安全专家和批评者的广泛质疑:为什么科技巨头如此急于推出新功能,而忽视了对这些功能潜在危险行为的充分理解和控制?
微软Copilot Actions:功能与风险并存
根据微软的描述,Copilot Actions是一套"实验性代理功能",启用后能够执行"日常任务,如整理文件、安排会议或发送邮件",并提供"一个积极的数字协作者,可以为您执行复杂任务以提高效率和生产力"。
然而,伴随着这一功能的隆重推出,微软也附上了一个重要的警示:微软建议用户仅在"理解概述的安全含义"的情况下启用Copilot Actions。
AI代理的核心安全漏洞
微软的警示基于大多数大型语言模型(包括Copilot)中固有的已知缺陷,研究人员已经多次证明这些缺陷的存在。
幻觉问题:不可信的AI输出
LLM的一个常见缺陷是它们会提供事实错误且不合逻辑的答案,有时甚至是对最基本的问题也是如此。这种被称为"幻觉"的倾向意味着用户无法信任Copilot、Gemini、Claude或其他任何AI助手的输出,而必须独立确认其结果。
提示注入:隐藏的指令威胁
另一个常见的LLM隐患是"提示注入",这是一类允许黑客在网站、简历和电子邮件中植入恶意指令的漏洞。LLM被编程为如此急切地遵循指令,以至于它们无法区分有效用户提示中包含的指令与攻击者创建的不可信第三方内容中包含的指令。因此,LLM对攻击者给予与用户同等的对待。
这两种漏洞都可以被用于窃取敏感数据、运行恶意代码和加密货币盗窃的攻击中。迄今为止,这些漏洞已被证明开发者无法预防,在许多情况下,只能在发现漏洞后使用特定的变通方法来解决。
微软在其周二发布的帖子中坦承:"随着这些功能的引入,AI模型在行为方面仍面临功能性限制,偶尔可能会产生幻觉并产生意外输出。此外,代理AI应用程序引入了新的安全风险,如跨提示注入(XPIA),其中嵌入在UI元素或文档中的恶意内容可以覆盖代理指令,导致意外操作,如数据泄露或恶意软件安装。"
安全专家的批评声音
一些安全专家质疑周二声明中警告的价值,将其与微软几十年来关于Office应用程序中使用宏的危险性的警告相提并论。尽管长期以来一直有这样的建议,宏仍然是黑客秘密在Windows机器上安装恶意软件的最容易下手的目标之一。原因之一是微软使宏对生产力至关重要,许多用户无法不使用它们。
独立研究员Kevin Beaumont表示:"微软说'不要启用宏,它们很危险'...从来没有很好地奏效过。这就像是服用了漫威超级英雄兴奋剂的宏。"
Beaumont经常被雇佣处理企业内部的重大Windows网络入侵事件,他还质疑微软是否会为管理员提供适当限制最终用户机器上Copilot Actions的方法,或识别网络中已启用该功能的机器。
微软发言人士表示,IT管理员将能够使用Intune或其他MDM(移动设备管理)应用程序在账户和设备级别启用或禁用代理工作区。
研究员Guillaume Rossolini表示:"我看不出用户将如何防止他们所指的那种攻击,除了不上网之外。"
微软的安全策略:目标与现实的差距
微软周二的帖子主要关注其保护Windows中代理功能的整体策略。这些功能的目标包括:
- 不可否认性:所有行动和行为必须"可观察且与用户采取的行动可区分"
- 保密性:代理在收集、聚合或以其他方式利用用户数据时必须保持保密
- 用户批准:代理在访问用户数据或采取行动时必须获得用户批准
这些目标听起来合理,但最终它们依赖于用户阅读警告风险的对话框,并在继续之前仔细批准。这反过来又降低了对许多用户的保护价值。
加州大学圣地亚哥分校专攻AI安全的教授Earlence Fernandes告诉Ars:"对于依赖用户点击通过权限提示的此类机制,通常的警告仍然适用。有时这些用户不完全发生了什么,或者他们可能只是习惯于一直点击'是'。到那时,安全边界实际上并不是一个边界。"
正如"ClickFix"攻击的浪潮所证明的那样,许多用户可以被欺骗去遵循极其危险的指令。虽然更有经验的用户(包括相当数量的Ars评论者)指责这些骗局受害者,但由于多种原因,此类事件是不可避免的。在某些情况下,即使是谨慎的用户也会感到疲劳或在情感压力下失误。其他用户则 simply 缺乏做出明智决定的知识。
批评者之一表示,微软的警告几乎等同于CYA(掩盖你的屁股),这是一种试图使一方免于承担法律责任的策略。
批评者Reed Mideke表示:"微软(就像行业其他公司一样)不知道如何阻止提示注入或幻觉,这使其从根本上不适合任何严肃的事情。解决方案?将责任转移给用户。就像每个LLM聊天机器人都有'顺便说一下,如果您将此用于任何重要的事情,请务必验证答案'的免责声明一样,不管如果您知道答案,您首先就不需要聊天机器人。"
从实验性功能到默认功能的趋势
微软强调Copilot Actions是一个默认关闭的实验性功能。这种设计可能是为了限制其访问具有理解所需风险经验的用户。然而,批评者指出,先前的实验性功能——例如Copilot——随着时间的推移定期成为所有用户的默认功能。一旦完成,不信任该功能的用户通常需要投入时间开发不受支持的方式来移除这些功能。
行业范围内的AI安全挑战
正如Mideke所指出的,大多数批评也适用于其他公司——包括苹果、谷歌和Meta——将其产品整合的AI产品。这些整合通常开始作为可选功能,并最终成为用户无论是否想要的默认功能。
用户应如何应对AI代理风险
面对AI代理技术的安全风险,用户可以采取以下措施:
- 保持警惕:了解您使用的AI功能可能存在的风险,特别是涉及敏感数据时。
- 审慎启用实验性功能:如微软建议的那样,仅在充分理解风险的情况下启用实验性AI功能。
- 验证AI输出:不要盲目信任AI生成的内容,尤其是涉及重要决策或敏感信息时。
- 保持软件更新:确保您的系统和应用程序保持最新,以获得最新的安全补丁。
- 企业用户应制定策略:企业IT部门应制定明确的政策,限制或监控AI代理在企业环境中的使用。
结论:AI安全需要多方共同努力
微软Copilot Actions的警告揭示了AI代理技术发展中的一个关键问题:安全与创新之间的平衡。随着AI技术越来越深入地融入我们的日常工作和生活,确保这些系统的安全性变得至关重要。
科技公司需要更加透明地沟通AI功能的潜在风险,并投入更多资源解决已知的安全漏洞。同时,监管机构也需要制定适当的指导方针,确保AI产品的安全标准。
对于用户而言,提高对AI安全风险的认识,采取适当的预防措施,是保护自己数据安全的第一道防线。在这个AI快速发展的时代,安全不应成为创新的牺牲品。
