關鍵詞

Windows

2025年4月，微軟發布了一項關于 Windows Hello 的重要安全通告，修復了編號為 CVE-2025-26644 的“欺騙”類漏洞。該漏洞被南洋理工大學的研究人員披露，核心問題在于 Windows Hello 的人臉識別機制在處理“對抗性輸入擾動”時存在不足，攻擊者有可能借助偽造圖像在本地環境中繞過身份驗證。

此漏洞被評為“重要”級別，攻擊復雜度較高、無需權限、無需用戶交互，但攻擊僅限于本地執行。目前尚無公開利用，也未發現已被攻擊的案例。微軟為此發布了修復補丁，并對 Windows Hello 的運行機制進行了關鍵性調整：系統現在要求“紅外傳感器與普通攝像頭”聯合工作，才能完成人臉認證。

調整的直接后果是：在黑暗環境下，Windows Hello 將無法再完成人臉識別登錄。此前，Windows Hello 可單獨依賴紅外（IR）傳感器進行 3D 面部掃描，即使在無光環境下也能順利識別用戶。但由于現在要求攝像頭也必須“識別到面部”，而攝像頭在暗光下無法有效成像，因此導致用戶在夜間、背光、或光線不足的環境中無法通過人臉識別登錄系統。

這種變化并非系統錯誤，而是微軟出于增強安全性的主動決策。微軟認為，雖然用戶在便利性上有所犧牲，但在當前日益嚴峻的網絡安全環境下，加強身份驗證機制是必須做出的權衡。

一些用戶已發現一種“變通辦法”：通過設備管理器禁用網絡攝像頭，使系統只能調用紅外傳感器，從而在黑暗環境中恢復舊版識別方式。不過這種做法將影響其他應用程序使用攝像頭（如 Teams、Zoom、錄制視頻等），因此并不推薦作為長期解決方案。

微軟指出，該問題源于 Windows Hello 識別模型在面對人工構造的圖像擾動時缺乏有效檢測能力。攻擊者可能構造精心設計的“面部模型”誘騙系統，完成未經授權的登錄。為避免此類風險，微軟決定強制要求可見光參與識別，從而提升整體安全性。

此次更新影響范圍廣泛，涵蓋 Windows 10 1809 至 22H2、Windows 11 所有版本及 Windows Server 多個版本。凡在 2025 年 4 月之后安裝官方安全更新的系統，均受到此新策略約束。

人臉識別本質上屬于“無接觸式生物特征認證”，在提升便利性的同時，也引入了新型風險。CVE-2025-26644 的披露及應對，提醒用戶與廠商必須持續關注 AI 模型在現實攻擊場景下的魯棒性問題。未來，微軟或將改進識別模型，對“對抗性擾動”增強檢測與過濾能力，從而實現安全性與可用性的重新平衡。

在此之前，用戶可選擇使用指紋識別、PIN 碼或物理安全密鑰等替代方案，確保系統在各種環境下均具備可靠的身份驗證能力。對于依賴人臉識別作為主要登錄方式的組織，應在內部告知員工此項變更，并評估其對工作效率與用戶體驗的具體影響，制定相應的過渡方案或支持措施。

Windows Hello 的此次調整，不僅是對一個具體漏洞的修復，更是生物識別技術安全實踐中的一次重要轉折。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！