安全研究员Alexander Hagenah发布了TotalRecall Reloaded工具,该工具揭露了Microsoft重新设计的Recall功能在经过一年安全改造后仍在泄露用户数据。该工具并不破解Recall的加密或Windows Hello认证——相反,它向AIXHost.exe注入代码,这个进程负责处理认证后的解密Recall数据。一旦用户打开Recall并完成认证,该工具就能拦截通过这个未保护管道流动的截图、OCR文本和元数据,即使在用户关闭Recall会话后仍能继续收集数据。
这代表了Microsoft安全模型中的根本缺陷:他们建造了保险库却让运输卡车不上锁。Microsoft花了一年时间在灾难性安全失败后重新设计Recall,添加了加密、Windows Hello认证和基于虚拟化的安全飞地。然而他们错过了明显的攻击向量——加密数据变成明文进行处理的那一刻。对于构建处理敏感用户数据系统的AI从业者来说,这是深度防御重要性的大师课。你不能只加密静态数据;你需要保护管道中的每个交接点。
Microsoft可预见地否认这构成漏洞,声称该行为落在"预期安全边界"内,因为它需要用户认证。这种回应揭示了大科技公司安全团队与现实威胁的脱节程度。恶意软件不需要破解加密,如果它们可以简单地等待用户正常认证,然后收集下游流动的一切。这种攻击不需要管理员权限——只需要能够向标准Windows进程注入DLL的能力。
构建AI功能的开发者应该从Microsoft的错误中学习:假设用户的机器已被入侵并相应地设计。如果你处理敏感数据,请端到端加密并最小化明文暴露窗口。不要构建创建全面监控数据库的功能,即使出于好意。隐私风险很少能证明便利收益的合理性,正如Recall所展示的,当你处理如此多的用户数据时,完美安全是个神话。