Проблема з конфіденційністю у Microsoft 365 Copilot: ШІ-помічник читав захищені листи
Від кінця січня поточного року в роботі Microsoft 365 Copilot виявлено помилку, яка дозволяє штучному інтелекту узагальнювати конфіденційні електронні листи. Це відбувається всупереч політикам захисту від втрати даних (DLP), на які покладаються організації для забезпечення безпеки чутливої інформації.
Деталі проблеми
Згідно з повідомленням про сервіс, опублікованим BleepingComputer, ця помилка (ідентифікована як CW1226324, вперше зафіксована 21 січня) стосується функції чату в Copilot. Вона призводить до некоректного зчитування та узагальнення електронних листів, що зберігаються у папках “Надіслані” та “Чернетки”. Це стосується навіть повідомлень, які мають спеціальні мітки конфіденційності, призначені для обмеження доступу автоматизованих інструментів.
Microsoft 365 Copilot Chat – це розроблений Microsoft чат-інтерфейс на базі штучного інтелекту, який розуміє контекст і дозволяє користувачам взаємодіяти з ШІ-агентами. Компанія почала впроваджувати Copilot Chat для Word, Excel, PowerPoint, Outlook та OneNote для корпоративних клієнтів Microsoft 365 у вересні 2025 року.
Представники Microsoft підтвердили проблему, заявивши: “Електронні листи користувачів із застосованою міткою конфіденційності обробляються Microsoft 365 Copilot chat неправильно. Чат на вкладці “робота” Microsoft 365 Copilot узагальнює електронні листи, навіть якщо до цих листів застосована мітка чутливості та налаштована політика DLP”.
Виправлення та розслідування
У Microsoft пояснили, що причиною проблеми є невизначений збій у програмному коді. Виправлення почали розгортати на початку лютого. Станом на середину тижня компанія повідомляла, що продовжує моніторинг процесу впровадження та зв’язується з частиною постраждалих користувачів для перевірки ефективності виправлення.
За словами Microsoft, “Проблема в коді дозволяє елементам у папках “Надіслані” та “Чернетки” опинятися у Copilot, навіть якщо встановлені конфіденційні мітки”.
Компанія не надала точних термінів повного усунення проблеми, а також не розкрила кількість постраждалих користувачів чи організацій. Зазначено лише, що масштаби впливу можуть змінюватися під час подальшого розслідування. Наразі цей інцидент позначено як “консультаційний” (advisory), що зазвичай свідчить про проблеми сервісу з обмеженим охопленням.
Рекомендації експертів
Експерти з кібербезпеки підкреслюють, що подібні помилки вказують на необхідність ретельнішого тестування програмного забезпечення перед його масовим розгортанням. Організаціям рекомендується перевіряти власні політики DLP та, за потреби, тимчасово обмежувати доступ інструментів ШІ до конфіденційної пошти. Цей випадок може стимулювати Microsoft та інших розробників ШІ-продуктів до активнішого впровадження механізмів контролю та прозорості при обробці чутливих даних. Подальший розвиток ситуації буде важливим показником того, як великі корпорації знаходять баланс між автоматизацією та захистом інформації.
”Геймерський” Copilot у Windows 11 потай робить скриншоти, поки ви проходите ігри
Вердикт ІТ-Блогу: Обов’язкове оновлення для всіх користувачів Microsoft 365, особливо тих, хто працює з конфіденційною інформацією, після того, як Microsoft підтвердить повне усунення цієї вразливості.
Інформація підготовлена на основі матеріалів: itc.ua