В конце января 2026 года обнаружен критический баг в системе Microsoft 365 Copilot, который позволял ИИ-ассистенту просматривать и анализировать конфиденциальные электронные письма пользователей. Эта проблема вызывает опасения по поводу соблюдения правил защиты данных и безопасности корпоративной информации.
Детали инцидента и его суть
Microsoft признала наличие ошибки, которая затрагивала функцию Chat в Microsoft 365 Copilot, особенно раздел «Рабочая вкладка». Согласно официальному заявлению компании, начиная с 21 января 2026 года, внутренний баг CW1226324 приводил к тому, что ИИ-ассистент мог получать доступ к письмам, находящимся в папках «Отправленные» и «Черновики». В результате система автоматически обрабатывала и сводила к минимуму конфиденциальные сообщения, несмотря на наличие в них специальных меток и политик Data Loss Prevention (DLP).
Особую тревогу вызывает факт, что некоторые из этих сообщений были помечены как конфиденциальные или имели чувствительные ярлыки, предназначенные для защиты информации. Несмотря на существующие меры безопасности, автоматическая обработка данных происходила, что противоречит первоначальной концепции защиты корпоративных данных.
Хронология и основные пункты
- 21 января 2026 года — обнаружение бага CW1226324 в Microsoft 365 Copilot.
- Конец января — начало внутреннего расследования и подтверждение проблемы.
- Февраль 2026 года — Microsoft начала распространение исправлений для устранения уязвимости.
- Настоящий момент — продолжается мониторинг внедрения исправлений и проверка их эффективности.
Позиции сторон, реакции и комментарии
Microsoft заявил: «Мы выявили и устранили проблему, связанную с тем, что Copilot Chat мог возвращать содержимое из писем, помеченных как конфиденциальные, и находящихся в папках «Черновики» и «Отправленные». Это не предоставляло сторонний доступ к информации, которой пользователь не был авторизован видеть. Мы внедрили обновление конфигурации для всех корпоративных клиентов». В компании подчеркнули, что безопасность и контроль доступа остаются в силе, однако возникшую проблему признали недопустимой и устранили.
Несмотря на официальные заявления, эксперты в области кибербезопасности выражают опасения, что такие сбои могут привести к утечкам чувствительных данных, особенно при неправильной настройке политик и ярлыков.
Некоторые представители бизнеса и аналитики отмечают, что подобные инциденты подчеркивают необходимость более строгого контроля и тестирования автоматизированных систем обработки информации.
Контекст и возможные последствия
Этот инцидент демонстрирует, насколько важна безопасность при интеграции искусственного интеллекта в корпоративные платформы. Даже временные сбои могут привести к тому, что конфиденциальные данные станут доступны автоматизированным инструментам, что увеличивает риск утечек и нарушений конфиденциальности.
Для компаний, использующих Microsoft 365 Copilot, важно провести аудит настроек, протестировать политики ярлыков и DLP, а также следить за обновлениями безопасности от Microsoft, чтобы минимизировать возможные риски. В будущем подобные инциденты подчеркивают необходимость постоянной адаптации правил защиты данных к быстро развивающимся технологиям.
Дарья Тимошенко
Автор. Технологический обозреватель. Пишет о цифровых трендах, инновациях и гаджетах. Разбирает сложное просто, следит за будущим уже сегодня. Все посты