安全研究員Alexander Hagenah發布了TotalRecall Reloaded工具,該工具揭露了Microsoft重新設計的Recall功能在經過一年安全改造後仍在洩露使用者資料。該工具並不破解Recall的加密或Windows Hello認證——相反,它向AIXHost.exe注入程式碼,這個處理程序負責處理認證後的解密Recall資料。一旦使用者開啟Recall並完成認證,該工具就能攔截通過這個未保護管道流動的螢幕截圖、OCR文字和中繼資料,即使在使用者關閉Recall工作階段後仍能繼續收集資料。
這代表了Microsoft安全模型中的根本缺陷:他們建造了保險庫卻讓運輸卡車不上鎖。Microsoft花了一年時間在災難性安全失敗後重新設計Recall,加入了加密、Windows Hello認證和基於虛擬化的安全飛地。然而他們錯過了明顯的攻擊向量——加密資料變成明文進行處理的那一刻。對於建構處理敏感使用者資料系統的AI從業者來說,這是深度防禦重要性的大師課。你不能只加密靜態資料;你需要保護管道中的每個交接點。
Microsoft可預見地否認這構成漏洞,聲稱該行為落在「預期安全邊界」內,因為它需要使用者認證。這種回應揭示了大科技公司安全團隊與現實威脅的脫節程度。惡意軟體不需要破解加密,如果它們可以簡單地等待使用者正常認證,然後收集下游流動的一切。這種攻擊不需要管理員權限——只需要能夠向標準Windows處理程序注入DLL的能力。
建構AI功能的開發者應該從Microsoft的錯誤中學習:假設使用者的機器已被入侵並相應地設計。如果你處理敏感資料,請端到端加密並最小化明文暴露視窗。不要建構創建全面監控資料庫的功能,即使出於好意。隱私風險很少能證明便利收益的合理性,正如Recall所展示的,當你處理如此多的使用者資料時,完美安全是個神話。