Windows在「監視」你——Recall的重新設計夠安全嗎？

想像一下：你電腦上做的每一件事，都被截圖記錄下來。

這不是科幻情節，而是微軟（Microsoft）正在推進的真實功能——Recall。它每隔幾秒就對你的螢幕截圖一次，讓AI可以在事後幫你「回憶」任何你曾經看過、讀過、搜尋過的內容。聽起來很方便？問題在於，這些截圖如果落入不該有的人手中，後果會是什麼。

被延遲一年的功能，再度出現安全疑慮

2024年5月，微軟首次公布 Recall 功能，立刻引發軒然大波。資安專家形容這是「網路安全災難」和「隱私噩夢」，強烈的反彈迫使微軟將功能延遲發布，並花費近一年時間重新設計，核心改動是將截圖資料存入所謂的「安全保管庫」（Secure Vault），以提高存取門檻。

然而，2026年4月，資安研究員 Alexander Hagenah 公開了一個名為「TotalRecall Reloaded」的工具，證明即使是重新設計後的 Recall，其數據仍可被提取和顯示。Hagenah 正是當年開發原版「TotalRecall」工具、首次揭露初代 Recall 弱點的同一位研究員。換句話說，同一個人，再次對同一家公司的同一個功能，提出了安全質疑。

微軟方面強調，新設計已讓管理員難以存取其他用戶的資料，安全性已大幅提升。但 Hagenah 的工具顯示，這道防線並非無懈可擊。

不只是漏洞，而是AI時代的根本矛盾

Recall 的爭議，折射出一個更大的行業困境：AI要變得「聰明」，就必須了解你；而了解你，就必須記錄你。

微軟、蘋果、Google 都在以不同方式應對這個矛盾。蘋果選擇在裝置端處理個人資料，強調「不離開你的手機」；Google 則深化雲端歷史記錄的整合；微軟的 Recall 則走了一條最激進的路——在本地端持續截圖，建立完整的行為歷史資料庫。

對華人用戶而言，這個議題有幾個特別值得關注的面向。

廣告

廣告合作

[email protected]

廣告

在台灣，政府機關與科技產業高度依賴Windows系統，若 Recall 功能在企業環境中被啟用，涉及商業機密或政府敏感資訊的截圖，將構成嚴重的資安風險。台灣的《個人資料保護法》是否足以規範此類AI功能，也是值得關注的問題。

在香港，《個人資料（私隱）條例》近年已多次修訂，但面對AI時代的新型資料收集方式，現行法規是否跟得上，仍是未知數。

在中國大陸，情況則截然不同。微軟 的服務在中國受到嚴格限制，Recall 功能並不適用於中國市場的版本。但這並不意味著問題不存在——中國科技企業同樣在開發類似的AI個人助理功能，而在數據主權與政府監管的框架下，「誰能存取你的數據」這個問題，有著完全不同的政治意涵。

各方立場的角力

這場爭議中，不同利益方的立場形成了鮮明對比。

從**微軟的角度**來看，Recall 是其 Copilot AI戰略的核心拼圖。在與蘋果、Google 的AI競賽中，一個能「記住你所有事情」的個人助理，是差異化競爭的關鍵武器。持續延遲只會讓競爭對手拉開差距。

從資安研究員的角度來看，一個花了一年重新設計、號稱已加強安全性的功能，卻仍能被同一位研究員用工具破解——這本身就說明問題。更令人擔憂的是，即使微軟的保管庫設計無懈可擊，一旦用戶的電腦感染惡意軟體，Recall 的截圖資料庫就成了攻擊者的「數位金礦」，其中可能包含密碼、信用卡號、私人訊息，乃至商業機密。

從一般用戶的角度來看，大多數人甚至不知道這個功能的存在。微軟已將 Recall 設為預設關閉（opt-in），用戶需主動開啟。但「可以選擇」和「在充分理解風險後做出選擇」，是兩件完全不同的事。

從監管機構的角度來看，歐盟的 GDPR 已對 Recall 表示關切，要求微軟說明數據處理方式。亞洲各國的監管機構是否會跟進，將是觀察重點。

「安全」的標準，由誰來定？

Recall 事件最值得深思的，或許不是技術細節，而是一個更根本的問題：在AI功能日益深入個人生活的時代，「足夠安全」的標準應該由誰來制定？

企業有動機說自己的產品是安全的。監管機構往往落後於技術發展。而用戶，通常在不完全理解的情況下點下「同意」。

這個三角關係的失衡，不只存在於 Recall，而是整個AI產業都在面對的結構性問題。