圖片來源: 

微軟

在遭到隱私和安全性的質疑後,微軟上周宣布將Copilot+ PC中的Recall功能由預設改為自願加入(opt-in)。

5月20日微軟偕高通與宏碁、華碩等OEM公布內建AI功能的Copilot+ PC。其中Recall是最具代表性,也是Copilot+ PC專屬的功能。它能定期快照記錄使用者在PC上的上網或PC活動,可讓用戶檢視並回復之前應用程式執行狀態。但這項功能仰賴PC持續蒐集資料,引發資安專家隱私疑慮。

圖片來源/微軟

微軟在最新的宣布中指出,由於聽到業界應提供啟動Recall自主選擇的呼籲,微軟宣布在Copilot+ PC 6月18日開賣前更新Recall的設定,允許自願(opt-in)啟動,以便儲存快照在PC上。如果用戶未主動選擇啟動,它預設是關閉的。其次,要啟動Recall,必須註冊Windows Hello,而且要在Recall中檢視時間軸和搜尋,也必須經過Windows Hello生物驗證。第三,微軟為Recall再增加一層Windows Hello進階登入安全(Enhanced Sign-in Security,ESS)的適時(just-in-time)解密防護,只有在用戶驗證當下可以解密Recall快照,而且微軟也加密了搜尋索引資料庫。

Recall的作用原理是記錄用戶在電腦上做的一切事情,再以AI加上索引,將之轉成可搜尋的快照。它在搜尋某份文件或某張相片、某檔案相當有效,即使用戶輸入的關鍵字很模糊。用戶也可透過時間軸來查詢內容,不管這些內容是存在於應用程式、網站或文件中,Recall也可提出建議。Recall個人化索引結果完全儲存在本機上,不會上傳雲端,還有多重安全防護,像是Recall記錄時會清楚告知用戶,且不會儲存Edge瀏覽器的隱私上網(InPrivate)快照及數位版權憑證,且允許用戶檢視、過濾和刪除它蒐集的快照。

但資安專家仍對Recall有相當疑慮。例如安全專家Kevin Beaumont發現,Recall的快照資料只在用戶未登入PC時才會加密,像是電腦被偷、被搶時會啟動加密保護。在用戶登入電腦情況下,Copilot+ PC系統不會加密,而是存在SQLite明碼資料庫上,表示這些資料可為人類或應用程式讀取。若用戶電腦遭植入間諜程式,使用紀錄即可能曝險。

《The Register》認為,微軟提供的還不夠,因為Recall的網站過濾功能僅限使用Edge瀏覽器時,且無法能根據GDPR規定,在資料控制者刪除來源資料後,刪除應用程式內曝露的個資,造成處理個資組織的遵法問題。

基於Recall的安全疑慮,英國政府已在上個月底啟動調查

熱門新聞

Advertisement