Непередбачувані збої в роботі Copilot: конфіденційні дані під загрозою
Компанія Microsoft повідомила про серйозний програмний дефект у своєму помічнику Microsoft 365 Copilot, який з кінця січня дозволяє штучному інтелекту (ШІ) несанкціоновано аналізувати конфіденційні електронні листи. Це відбувається всупереч встановленим політикам захисту від втрати даних (DLP), на які покладаються бізнес-структури для гарантування безпеки чутливої інформації.
Деталі інциденту та його вплив
Згідно з інформацією, опублікованою BleepingComputer, зазначена помилка (ідентифікована як CW1226324, виявлена 21 січня) безпосередньо впливає на функціонал чату в Copilot, що працює на вкладці “робота”. Цей інструмент, замість того, щоб дотримуватися встановлених обмежень, неправильно обробляє та узагальнює вміст електронних листів, які зберігаються у папках “Надіслані” та “Чернетки”. Особливо тривожним є той факт, що проблема стосується навіть тих повідомлень, до яких було застосовано спеціальні позначки конфіденційності, призначені для обмеження доступу автоматизованих систем.
Microsoft 365 Copilot Chat – це інтелектуальний чат-інтерфейс від Microsoft, який використовує потужності ШІ для аналізу контенту та взаємодії з користувачем. Він почав поступово впроваджуватися для корпоративних клієнтів Microsoft 365, які мають платну підписку, ще з вересня 2025 року, охоплюючи такі додатки, як Word, Excel, PowerPoint, Outlook та OneNote.
Офіційне підтвердження та заходи реагування
Представники Microsoft офіційно підтвердили наявність проблеми, зазначивши: “Електронні листи користувачів із застосованою позначкою конфіденційності обробляються Microsoft 365 Copilot chat некоректно. Чат на вкладці “робота” Microsoft 365 Copilot узагальнює електронні листи, навіть якщо до цих листів застосована позначка чутливості та налаштована політика DLP”.
Компанія пояснює причину інциденту невизначеним збоєм у програмному коді та повідомила про початок розгортання виправлень на початку лютого. Станом на середину тижня Microsoft продовжує відстежувати процес впровадження патчу та зв’язується з частиною постраждалих клієнтів для перевірки його ефективності. Як зазначили представники Microsoft, “Проблема в коді дозволяє елементам у папках “Надіслані” та “Чернетки” потрапляти до Copilot, навіть якщо встановлені конфіденційні позначки”.
Відсутність точних термінів та масштаби впливу
Наразі Microsoft не надала чітких термінів повного усунення цього програмного дефекту, а також не розкрила точну кількість користувачів чи організацій, які могли постраждати. Зазначається лише, що масштаби впливу можуть варіюватися в міру триваючого розслідування. Проте, інцидент наразі класифіковано як “консультаційний” (advisory), що зазвичай вказує на проблеми з обмеженим охопленням або незначним впливом.
Висновок експертів та рекомендації
Фахівці з кібербезпеки наголошують, що подібні збої яскраво демонструють критичну потребу в ретельному тестуванні ШІ-інструментів перед їхнім широкомасштабним розгортанням. Організаціям рекомендується провести аудит власних політик DLP та, за потреби, тимчасово обмежити доступ ШІ-помічників до конфіденційної корпоративної пошти. Цей випадок також може слугувати стимулом для Microsoft та інших розробників ШІ-рішень до впровадження більш надійних механізмів контролю та прозорості під час обробки чутливих даних. Подальший розвиток цієї ситуації буде важливим показником того, як великі технологічні гравці знаходять баланс між прагненням до автоматизації та забезпеченням інформаційної безпеки.
”Геймерський” Copilot у Windows 11 потай робить скриншоти, поки ви проходите ігри
Думка ІТ-Блогу: Цей інцидент підкреслює фундаментальну проблему безпеки в інтеграції ШІ-інструментів із корпоративними системами, де навіть незначна помилка в коді може мати серйозні наслідки для конфіденційності. Для користувачів це означає необхідність більш критичного ставлення до автоматизованих інструментів, а для розробників – посилення заходів тестування та контролю, щоб уникнути подібних репутаційних та безпекових ризиків у майбутньому.
Подробиці можна знайти на сайті: itc.ua