微软近年来一直在Windows 11中集成AI功能,但最近这些功能已进入一个新阶段,生成式AI和所谓的"代理式"AI功能正深入操作系统的核心。最近发布的Windows 11预览版中,设置中新增了一个"实验性代理功能"开关,以支持名为Copilot Actions的功能,同时微软也发布了一份详细的支持文章,阐述了这些"实验性代理功能"的工作原理。
什么是AI代理?
"代理式"是微软反复用来描述其对Windows 11未来愿景的流行词汇——用更通俗的语言来说,这些代理旨在在后台完成分配的任务,让用户可以将注意力转向其他地方。微软表示,希望这些代理能够"处理日常任务,如整理文件、安排会议或发送电子邮件",而Copilot Actions应该为用户提供"一个积极的数字协作者,能够为您执行复杂任务以提高效率和生产力"。
然而,与其他AI一样,这些代理容易出错和产生幻觉,即使它们不知道自己在做什么,也会继续进行操作。用微软自己的话说,它们还带来了"新颖的安全风险",主要与攻击者能够向这些代理发出指令后可能发生的情况有关。
安全风险与应对措施
目前,这些"实验性代理功能"是可选的,仅在Windows 11的早期测试版本中可用,并且默认处于关闭状态。
微软正在采取一系列措施来缓解这些风险。例如,在PC上运行的AI代理将被分配独立的用户账户,与您的个人账户分开,确保它们无权更改系统中的所有内容,并为它们提供自己的"桌面"工作空间,不会干扰您在屏幕上的工作。用户需要批准其数据请求,并且"代理的所有操作都是可观察的,并且可以与用户执行的操作区分开来"。微软还表示,代理需要能够生成其活动日志,并且"应该提供监督其活动的方法",包括向用户显示他们将采取的完成多步骤任务的操作列表。
然而,这些保障和监控功能并不能改变您使用AI代理会面临隐私和安全风险的事实。它们将能够请求对您用户账户中大多数文件的读写访问权限——默认情况下,可以访问文档、下载、桌面、音乐、图片和视频文件夹中的任何内容。它们可以访问已为PC上所有用户安装的任何应用程序(仅在您的用户账户中安装的应用程序代理将无法访问,用户也可以安装仅其代理可以访问的应用程序)。此外,代理可能容易受到劫持,从而将您的数据暴露给攻击者——微软特别提到了"跨提示注入攻击(XPIA),其中嵌入在UI元素或文档中的恶意内容可以覆盖代理指令,导致意外操作如数据泄露或恶意软件安装"。
用户控制与默认设置
目前,用户可以通过设置开关关闭这些功能,并且默认情况下是关闭的。这一对用户偏好的让步——加上详细的支持文档概述了风险以及微软尝试构建到系统中的预防措施——至少表明微软已经从去年Windows Recall功能的数据抓取失败部署中吸取了教训。
希望这些功能在开始向公众推出时保持完全默认关闭状态。如果不是,如果您希望将操作系统的各种云和AI功能挡在门外,它们可能会成为现代Windows 11安装中需要更改或关闭的众多事项之一。
Copilot的"人性化"改进
除了即将推出的这些AI代理外,微软还试图使Copilot更加"以人为中心"和易于接近,添加了一个类似Clippy的名为"Mico"的动画角色,并改进了其对语音输入以及典型鼠标和键盘请求的理解能力。
Windows PC键盘上的Copilot按键。图片来源:微软
权限管理的平衡术
微软面临的核心挑战是在赋予AI代理足够权限以执行有用任务与限制其访问以保护用户安全之间取得平衡。目前的解决方案包括:
- 用户账户隔离:为每个AI代理创建独立账户,限制系统级权限
- 文件夹访问控制:默认仅允许访问特定用户文件夹
- 应用程序访问限制:区分全局安装和用户级安装的应用程序访问权限
- 用户审批机制:对敏感操作需要用户明确批准
- 活动日志记录:所有操作都可追溯,便于审计和监控
潜在攻击向量分析
跨提示注入攻击(XPIA)
XPIA可能是最令人担忧的攻击向量,攻击者可以通过以下方式实施:
- UI元素注入:在用户界面元素中嵌入恶意指令
- 文档内容操纵:在文档中隐藏触发代理执行意外操作的命令
- 多步骤攻击:利用代理执行复杂任务的能力,逐步引导其执行恶意操作
数据泄露风险
AI代理对文件系统的访问权限可能导致:
- 敏感文件读取:未经授权访问个人文档、财务记录等
- 数据外传:将用户数据发送给未授权的第三方
- 信息收集:系统性地收集用户行为模式和个人偏好
恶意软件安装
被劫持的代理可能:
- 绕过安全检查:利用系统信任安装恶意软件
- 权限提升:获取比预期更高的系统权限
- 持久化访问:创建后门程序确保长期访问
微软的安全策略评估
微软在Windows 11 AI代理安全方面采取了多层次的防御策略,但这些策略的有效性仍有待验证:
优势
- 默认关闭:实验性功能默认关闭,降低意外风险
- 透明度:公开承认安全风险并提供详细文档
- 用户控制:提供多种方式让用户控制代理行为
- 审计能力:要求代理记录所有操作便于追踪
潜在不足
- 复杂度增加:多层安全措施可能增加系统复杂性
- 用户体验冲突:安全控制可能影响代理的便利性
- 新兴威胁:针对AI的攻击方法可能快速演变
- 第三方应用:难以完全控制所有可能调用的第三方服务
用户最佳实践建议
作为用户,您可以采取以下措施来降低使用AI代理的风险:
- 保持默认设置:除非必要,否则保持实验性功能关闭
- 定期审查权限:监控并限制代理的文件访问权限
- 警惕异常行为:注意代理执行的不寻常操作请求
- 及时更新系统:确保安装最新的安全补丁
- 备份数据:定期备份重要文件以防数据泄露
- 使用强密码:保护用户账户安全,防止未授权访问
行业影响与未来展望
Windows 11 AI代理的推出反映了操作系统发展的几个关键趋势:
AI深度集成
操作系统正从被动响应转向主动协助,AI代理将成为未来OS的核心组件,负责:
- 任务自动化:减少用户重复性工作
- 上下文感知:基于用户习惯提供个性化服务
- 跨应用协调:无缝连接不同应用程序功能
安全范式转变
传统基于边界的安全模型将向基于行为的安全模型转变:
- 零信任架构:默认不信任任何实体,持续验证
- 行为分析:监控异常行为模式而非仅依赖特征识别
- 最小权限原则:严格限制每个组件的访问权限
生态系统重构
AI代理将重新定义软件分发和交互方式:
- 智能应用商店:根据用户需求推荐合适应用
- 代理间协作:不同代理之间可安全交换信息
- 开发者新挑战:如何使应用与AI代理良好协作
结论
Windows 11 AI代理代表了操作系统演进的重要一步,微软在提供便利与保障安全之间努力寻找平衡点。虽然当前的安全措施显示出微软对这一新兴技术风险的认识,但AI代理带来的挑战远未完全解决。随着这些功能逐渐向公众推出,用户需要更加警惕地管理自己的数字隐私和安全。同时,整个科技行业也需要共同努力,建立更完善的AI安全标准和最佳实践,确保这一技术能够在保护用户权益的同时发挥其最大潜力。未来,我们可能会看到更多针对AI代理的安全创新,但在这个技术尚在发展的阶段,谨慎使用和持续关注将是明智之举。
