微软近日发布的警告引发了广泛关注:其最新集成的AI代理功能Copilot Actions可能存在严重安全风险,能够感染设备并窃取用户敏感数据。这一警告立即引发了安全专家的质疑与批评,科技巨头为何如此急于推出未经充分测试的新功能?本文将深入探讨这一问题的多个层面。
微软Copilot Actions:便利与风险的并存
在11月20日发布的公告中,微软介绍了Copilot Actions,这是一套"实验性代理功能",启用后可以执行"组织文件、安排会议或发送电子邮件等日常任务",并提供"积极的数字协作者,可以为您执行复杂任务以提高效率和生产力"。
然而,伴随着这一功能的隆重推出,微软也提供了一个重要的警告:仅当用户理解其中概述的安全影响时,才建议启用Copilot Actions。这一警告基于大多数大型语言模型(包括Copilot)中存在的固有缺陷,研究人员已经多次证明这些缺陷可以被利用。
AI代理的核心安全风险
幻觉现象:不可靠的AI输出
大型语言模型的一个常见缺陷是它们经常提供事实错误和逻辑混乱的答案,即使是对最基本的问题也是如此。这种现象被称为"幻觉",意味着用户无法信任Copilot、Gemini、Claude或其他任何AI助手的输出,而必须独立验证。
幻觉问题在AI代理中尤为危险,因为这些系统被设计为自主执行任务。如果AI代理基于错误信息做出决策,可能会导致严重后果,例如发送错误信息、删除重要文件或提供不准确的财务建议。
提示注入:隐藏的恶意指令
另一个常见的AI"地雷"是提示注入,这是一类允许黑客在网站、简历和电子邮件中植入恶意指令的漏洞。LLM被编程为急于遵循指令,以至于它们无法区分有效用户提示中包含的指令与攻击者创建的不可信第三方内容中包含的指令。因此,LLM给予攻击者与用户同等的对待。
这两种缺陷都可以被利用来发动数据泄露、运行恶意代码和窃取加密货币的攻击。迄今为止,这些漏洞已被证明开发者无法预防,在许多情况下,只能在发现漏洞后使用特定的变通方法来解决。
微软的警告:充分还是不足?
微软在其公告中坦诚承认:"随着这些功能的引入,AI模型在行为方面仍然存在功能限制,偶尔可能会产生幻觉并产生意外输出。此外,代理AI应用程序引入了新的安全风险,如跨提示注入(XPIA),其中嵌入在UI元素或文档中的恶意内容可以覆盖代理指令,导致数据泄露或恶意软件安装等意外行动。"
微软表示,只有经验丰富的用户才应该启用Copilot Actions,该功能目前仅在Windows的测试版中可用。然而,该公司没有描述这些用户应该接受什么样的培训或具备什么样的经验,或者他们应该采取什么措施来防止设备被入侵。
专家批评:"像漫威超级英雄兴奋剂的宏"
一些安全专家质疑周二公告中警告的价值,将其与微软几十年来关于Office应用中宏使用危险的警告进行比较。尽管长期以来一直有这样的建议,但宏仍然是黑客试图在Windows机器上秘密安装恶意软件时最容易得手的目标之一。这是因为微软使宏成为生产力的核心,许多用户无法不使用它们。
独立研究员Kevin Beaumont表示:"微软说'不要启用宏,它们很危险'...从未奏效过。这就像是漫威超级英雄兴奋剂的宏。"
Beaumont经常被雇佣处理企业内部的重大Windows网络入侵事件,他还质疑微软是否会为管理员提供适当限制最终用户机器上Copilot Actions的方法,或识别网络中已开启该功能的机器。
企业环境中的风险管理
对于企业环境而言,AI代理功能的安全管理尤为关键。微软发言人表示,IT管理员将能够使用Intune或其他移动设备管理(MDM)应用,在帐户和设备级别启用或禁用代理工作区。
然而,批评者提出了其他担忧,包括即使是经验丰富的用户也难以检测针对他们正在使用的AI代理的利用攻击。
研究员Guillaume Rossolini表示:"我看不出用户将如何防止他们所指的那种情况,除了不上网之外。"
微软的安全目标:崇高但难以实现
微软的公告主要关注其在Windows中保护代理功能的整体战略。这些功能的目标包括:
- 不可否认性:所有行动和行为必须"可观察且与用户采取的行动可区分"
- 代理在收集、聚合或以其他方式利用用户数据时必须保持机密性
- 代理在访问用户数据或采取行动时必须获得用户批准
这些目标是合理的,但最终它们依赖于用户阅读警告风险的对话框,并在继续之前需要仔细批准。这反过来又降低了保护对许多用户的价值。
加州大学圣地亚哥分校专门研究AI安全的Earlence Fernandes教授告诉Ars:"对于这种依赖用户点击权限提示的机制,通常的警告仍然适用。有时这些用户不完全发生了什么,或者他们可能只是习惯于一直点击'是'。在这种情况下,安全边界实际上并不是真正的边界。"
行业趋势:从可选到默认
微软强调Copilot Actions是一个默认关闭的实验性功能。这种设计可能是为了限制其访问有经验理解其风险的用户。然而,批评者指出,先前的实验性功能——例如Copilot——随着时间的推移,经常成为所有用户的默认功能。一旦完成,不信任该功能的用户通常需要投入时间开发不受支持的方式来删除这些功能。
这一趋势不仅限于微软。苹果、谷歌和Meta等公司也在将其AI功能集成到产品中。这些集成通常开始作为可选功能,最终成为用户无论是否都需要默认功能。
AI安全技术的局限性
正如批评者Reed Mideke所指出的:"微软(就像整个行业一样)不知道如何阻止提示注入或幻觉,这使其从根本上不适合任何严肃的事情。解决方案?将责任转移给用户。就像每个LLM聊天bot都有'顺便说一下,如果你将其用于任何重要的事情,请确保验证答案'的免责声明一样,不管如果你已经知道答案,你首先就不需要聊天bot了。"
这一批评适用于其他公司提供的AI产品,反映了当前AI安全技术的根本局限性。随着AI系统变得越来越自主和强大,确保其安全性的挑战也在增加。
用户面临的现实选择
对于普通用户而言,AI代理功能代表了便利与风险之间的复杂权衡。一方面,这些功能可以显著提高生产力和简化日常任务;另一方面,它们可能引入新的安全漏洞和隐私风险。
在当前的技术环境下,用户可能需要采取以下措施来保护自己:
- 对AI代理的输出保持批判性思维,特别是当这些输出涉及敏感操作或决策时
- 定期更新软件和安全补丁,以防范已知漏洞
- 谨慎对待要求AI代理访问敏感数据或执行高风险功能的请求
- 考虑使用额外的安全工具,如端点保护和数据丢失防护解决方案
未来展望:AI安全的发展方向
随着AI技术的不断发展,安全挑战也在演变。未来的AI安全发展可能包括:
- 更先进的提示注入防御技术,能够识别并阻止恶意指令
- 改进的幻觉检测机制,减少AI提供错误信息的可能性
- 更严格的AI系统认证和标准,确保产品在发布前经过充分的安全测试
- 用户友好的安全控制,使非技术用户能够轻松管理AI代理的权限和风险
结论
微软Copilot Actions的安全警告揭示了当前AI技术发展中的一个根本性矛盾:我们渴望AI带来的便利和效率,但又必须面对其潜在的安全风险。在AI技术尚未完全成熟的情况下,科技公司、安全专家和用户需要共同努力,在推动创新的同时确保安全性。
对于微软和其他科技巨头而言,这不仅仅是一个技术挑战,也是一个伦理责任。在将AI功能推向市场之前,必须进行充分的安全测试,并向用户提供清晰、易懂的风险信息。对于用户而言,了解AI系统的局限性并采取适当的安全措施至关重要。
随着AI代理功能越来越普及,我们可能会看到更多的安全事件和漏洞被发现。这并不意味着我们应该放弃AI技术,而是意味着我们需要更加谨慎地发展和部署这些技术,确保它们真正为用户服务,而不是成为新的安全威胁。
