你的电脑屏幕正在被AI逐帧记录,而攻击者只需要普通用户权限就能全部拿走——微软的回应是:这符合设计预期。
这不是讽刺,是2025年4月正在发生的事。Windows 11的AI历史回溯功能Recall,在经历过一次安全危机后重新上线,又被同一拨人找到了新攻击路径。区别在于,这次微软不打算修了。
场景重现:攻击是怎么发生的
想象Recall是一个银行金库。微软确实加固了金库本身——数据存储用了加密,直接撬门很难。
但研究员Alexander Hagenah发现,问题出在"运钞车"上。
Recall需要一个进程来渲染时间线界面,这个叫AIXHost.exe的程序,负责把加密数据解密后展示给你看。Hagenah的原话很直白:「金库是坚固的,运钞车不是。」
攻击者不需要管理员权限,不需要内核漏洞,不需要破解加密。只要以普通用户身份运行一个程序,就能往AIXHost.exe里注入代码,调用和官方界面完全相同的接口(COM接口)。
用户用Windows Hello完成身份验证后,解密的截图、OCR识别的文字、元数据,全部以"实时对象"的形式流经这个进程。TotalRecall Reloaded就蹲在这里,像收费站一样截走所有内容。
不需要提权。不需要绕过任何防护机制。只是调用了微软自己开放的接口。
微软的回应:这不是漏洞,是特性
Hagenah在公开工具前,提前一个月把演示视频发给了微软。按行业惯例,这种负责任的安全披露通常会换来官方致谢和修复时间表。
微软安全副总裁David Weston的回应是:「经过仔细调查,我们确认所展示的访问模式与预期的保护机制一致,属于现有安全模型的范畴。」
翻译一下:我们知道能这么干,但我们觉得没问题。
这个表态值得拆解。微软的逻辑大概是:既然攻击需要用户已经登录系统,那说明攻击者已经突破了第一道防线——物理访问或账户凭据。在这种前提下,Recall的数据泄露只是"已经沦陷的系统里的又一个文件"而已。
但安全圈对这个逻辑的反驳也很直接:Recall记录的不是普通文件,是你过去几周甚至几个月的完整操作轨迹。传统恶意软件需要实时抓取屏幕,Recall帮攻击者做好了历史归档。
攻击成本从"持续监控"降到了"一次性提取"。这能叫"不算事"?
Recall的技术债:为什么总是它
Recall的功能设计本身就踩在高风险线上。它用AI视觉模型持续截屏、识别文字、建立可搜索的时间线数据库。这意味着:
• 数据量级极大(连续数周的屏幕记录)
• 敏感度极高(密码、聊天记录、商业文档)
• 攻击面天然宽广(任何能读取数据库的方法都是高风险)
2024年6月的第一次危机,是微软把数据存成了明文。当时Hagenah的TotalRecall工具可以直接读取SQLite数据库,连身份验证都不需要。
微软的修复方案是加密存储+Windows Hello验证。但加密数据的"使用时刻"永远是薄弱环节——总要解密才能展示,而解密后的数据流就是新的攻击面。
AIXHost.exe的设计选择暴露了深层问题。微软没有给这个进程加PPL(受保护进程轻量级)、AppContainer沙箱、或代码完整性强制检查。这三项都是Windows现成的安全机制,但Recall团队一个都没用。
为什么?可能是性能考虑。Recall需要快速渲染时间线,沙箱和完整性检查会拖慢响应。也可能是架构债——AIXHost.exe要调用大量系统接口,严格隔离会增加开发复杂度。
无论原因是什么,结果是一个处理最高敏感度数据的进程,运行在和普通应用同等的权限环境里。
安全模型的分歧:边界在哪
微软和Hagenah的根本分歧,是对"系统沦陷后"的风险评估。
微软的立场是经典的安全边界思维:一旦攻击者获得了用户会话,游戏已经结束。在这个前提下,Recall数据和其他用户文件没有本质区别。花资源加固AIXHost.exe,只是让沦陷系统"稍微难利用一点",投入产出比不对。
Hagenah和批评者的立场是数据敏感度思维:Recall不是普通文件,是结构化的、可批量提取的、时间跨度极长的行为档案。传统攻击需要针对特定应用做键盘记录或屏幕抓取,Recall把这项工作自动化、历史化了。
更尖锐的批评指向微软的"预期保护"说法。如果COM接口注入是"预期内"的访问模式,那意味着微软在设计时就接受了"任何用户级进程都能读取Recall数据"的风险。这个设计选择本身,是不是对用户知情权的侵犯?
Recall的隐私设置界面,有没有明确告知用户:一旦有人用你的账户登录,你的完整操作历史可以被任意程序提取?
行业镜像:AI功能的安全悖论
Recall的困境不是孤例。几乎所有"AI懂你"的功能,都在面对同样的张力:
• 要提供个性化服务,必须收集大量行为数据
• 要让AI有用,数据必须保持可访问、可处理的状态
• 可访问性越强,被滥用的风险越高
苹果的智能功能选择设备端处理+差分隐私,牺牲了部分功能丰富度。谷歌的Workspace AI选择企业级权限管控,牺牲了个人用户的便捷性。微软的选择是功能优先,然后用"系统级安全"来兜底。
但"系统级安全"是个移动靶。企业环境有MDM(移动设备管理)、有零信任架构、有专门的终端安全团队。普通消费者的Windows 11笔记本有什么?一个可能重复使用的密码,和默认开启的Recall。
微软把Recall定位为Copilot+ PC的旗舰功能,却在安全架构上假设用户环境已经"企业级硬化"。这个错位才是争议的核心。
用户能做什么:三条防线
如果你在用或打算用Recall,现实选择有限但明确:
第一,检查开关状态。Recall目前不是强制开启,在设置-隐私和安全性-Recall和快照中可以关闭。但微软的UI设计一向擅长"温和引导"用户保持功能开启,需要主动寻找。
第二,理解Windows Hello的局限。生物识别或PIN验证只是"解锁钥匙",不是"访问控制"。任何在你登录后运行的程序,理论上都能调用相同的系统接口。
第三,考虑使用场景隔离。如果必须保留Recall,避免在高敏感度操作(网银、医疗记录、商业谈判)时使用同一账户。Recall的数据范围是用户级别的,不是设备级别的。
更根本的问题是:你是否真的需要这个功能?Recall解决的是"我上周看过的那个网页在哪"的痛点,但现有解决方案(浏览器历史、文档搜索、手动书签)真的不够用吗?
AI时代的产品设计,正在系统性地把"方便"和"隐私"放在对立面。Recall是这场拉锯战的典型样本——微软选择了方便,然后把安全责任推给用户环境和"预期使用场景"。
行动号召:去检查你的Recall设置
这件事的重要性不在于Recall本身,而在于它揭示的模式:当科技公司说"你的数据是安全的",他们指的是"按我们的定义安全"。
微软的定义是:攻击者需要突破系统登录才算数。Hagenah的定义是:任何能读取我操作历史的途径都算风险。两种定义没有绝对的对错,但只有一种是站在用户立场说话的。
现在打开你的Windows设置,搜索"Recall"。如果它开着,问问自己:过去30天,你的屏幕上出现过什么,你愿意让任何能运行在你电脑上的程序,用三行代码全部打包带走?
如果答案是否定的,关掉它。如果答案是"我不知道",更要关掉它——直到你确定自己理解了这个功能的代价。
微软不会为你的具体损失负责。他们的安全副总裁已经说得很清楚:这符合预期。
热门跟贴