JASON REDMOND/AFP via Getty ImagesForrige måned, med stor fanfare, kunngjorde Microsoft sin nye serie med Copilot+ PC-er, med en signatur AI-drevet funksjon kalt Microsoft Recall. Denne funksjonen er ment å gjøre livet enklere for hundrevis av millioner kunder over hele verden. Men selskapet glemte å ta hensyn til personvernrisikoen knyttet til produktets datainnsamlingspraksis eller oppfinnsomheten til hackere og sikkerhetseksperter, etiske eller andre.
Resultatet var en flom av kritikk om funksjonen og dens risiko. Sikkerhetseksperter som var i stand til å aktivere funksjonen i forkant av utgivelsen, satte sammen detaljerte kritikker av designet, med Kevin Beaumont som trolig leverte den mest brutale vurderingen:
Jeg tror det er en interessant, helt, virkelig valgfri funksjon med en nisje første brukerbase som vil kreve utrolig nøye kommunikasjon, cybersikkerhet, engineering og implementering. Copilot+ Recall har ikke disse. Arbeidet er ikke gjort skikkelig med å pakke det sammen, helt klart.
[…]
Jeg tror nok de kommer til å sette fyr på hele Copilot-merket pga. hvor dårlig dette er implementert og rullet ut. Det er en handling av selvskading hos Microsoft i navnet til AI, og ved proxy reell kundeskade.
Tilsynelatende utløste den kritikken en brannøvelse med fem alarmer i Microsoft, og selskapet kunngjorde nå betydelige endringer i funksjonen. I et blogginnlegg med mild tittel “Oppdater på forhåndsvisningsfunksjonen for tilbakekalling for Copilot+-PCer”," Microsofts konserndirektør Pvan Davuluri, som driver Windows + Devices-divisjonen, erkjente kritikken: “[Vi har hørt et tydelig signal om at vi kan gjøre det lettere for folk å velge å aktivere Recall på deres Copilot+ PC og forbedre personvernet og sikkerhetstiltak. Med det i tankene kunngjør vi oppdateringer som trer i kraft før Recall (forhåndsvisning) sendes til kunder 18. juni."
I følge blogginnlegget vil følgende endringer bli implementert i den utgitte versjonen av funksjonen:
Oppsettsopplevelsen til Copilot+ PC-er vil tilby “et klarere valg for å velge å lagre øyeblikksbilder ved å bruke Recall.” Funksjonen vil være av som standard og vil bare være aktivert hvis brukeren velger å aktivere den. (I mitt tidligere innlegg hadde jeg foreslått dette som en avgjørende endring.)Aktivering av funksjonen vil kreve Windows Hello-registrering, med sikker bevis på brukerens identitet, vanligvis via biometri. I tillegg sier Microsoft, “bevis på tilstedeværelse” vil også bli pålagt å se tilbakekallingstidslinjen og søke i innholdet. Når det gjelder selve databasen, vil den få et ekstra lag med databeskyttelse, inkludert “just in time” dekryptering, som Microsoft sier vil være beskyttet av Windows Hello Enhanced Sign-in Security (ESS). Søkeindeksdatabasen vil også være kryptert.
Den siste endringen er sannsynligvis den mest interessante og bør forhindre noen av de mer alvorlige scenariene som sikkerhetsforskere har advart om. “Akkurat i tide” dekrypteringsfunksjonen betyr at Recall-øyeblikksbilder vil være beskyttet av et andre lag med kryptering, ved hjelp av Windows Hello Enhanced Sign-in Security (ESS). Selv om en angriper er i stand til å få tilgang til brukerens database, vil de ikke kunne dekryptere og få tilgang til innholdet med mindre de kan gi sikker autentisering på en enhet som er aktivert for den brukeren med Windows Hello.
Dette er en historie i utvikling. Jeg oppdaterer når jeg har flere detaljer.