Компания Microsoft подтвердила серьезную проблему безопасности. Баг в системе позволял Copilot AI суммировать конфиденциальные письма клиентов без разрешения. Ошибка существовала несколько недель.

О баге первым сообщил ресурс Bleeping Computer. Проблема позволяла Copilot Chat читать и анализировать содержимое email с января. Это происходило даже когда у клиентов были настроены политики защиты от утечки данных. Такие политики должны предотвращать попадание чувствительной информации в большую языковую модель Microsoft.

Copilot Chat доступен платным клиентам Microsoft 365. AI-функция работает в программах пакета Office — Word, Excel и PowerPoint. Пользователи могут общаться с AI-помощником прямо в этих приложениях.

Microsoft сообщила, что баг можно отследить администраторам по номеру CW1226324. Проблема заключалась в неправильной обработке писем. Черновики и отправленные сообщения с меткой конфиденциальности некорректно обрабатывались системой Microsoft 365 Copilot chat.

Технологический гигант начал внедрять исправление ошибки в начале февраля. Представитель Microsoft не ответил на запрос комментария. Компания также не сообщила, сколько клиентов пострадало от бага.

Ранее на этой неделе произошел связанный инцидент. IT-отдел Европейского парламента заблокировал встроенные AI-функции на рабочих устройствах законодателей. Причина — опасения, что AI-инструменты могут загружать потенциально конфиденциальную переписку в облако.

Проблема с Copilot поднимает вопросы о безопасности AI-инструментов в корпоративной среде. Организации доверяют таким системам обработку чувствительных данных. Они полагаются на политики защиты информации.

Но баг показал, что технические средства защиты могут не работать. Copilot игнорировал настройки безопасности и обрабатывал защищенные письма. Это создавало риск утечки конфиденциальной информации.

Особенно опасно то, что проблема существовала с января. За это время AI мог проанализировать большое количество защищенных писем. Неизвестно, как эта информация использовалась и хранилась в системе.

Microsoft не раскрыла подробности о масштабе инцидента. Компания не сообщила точное количество пострадавших клиентов. Также неясно, какие типы конфиденциальной информации могли быть скомпрометированы.

Решение Европейского парламента о блокировке AI-функций показывает серьезность проблемы. Организации с высокими требованиями к безопасности предпочитают отказаться от AI-инструментов. Риск утечки данных перевешивает преимущества использования технологии.

Для Microsoft это удар по репутации. Компания активно продвигает Copilot как безопасный корпоративный инструмент. Баг подрывает доверие клиентов к способности Microsoft защищать их данные.

Инцидент также ставит вопросы о процессах тестирования в Microsoft. Как такая критическая ошибка безопасности могла существовать несколько недель незамеченной? Это указывает на возможные пробелы в системе контроля качества.