Un defect de programare din Microsoft Copilot Chat a permis asistentului de inteligență artificială să acceseze și să rezume emailuri marcate ca fiind confidențiale, inclusiv mesaje din folderele de trimise și ciorne, chiar și atunci când politicile de protecție a datelor erau activate.
Compania a confirmat problema după ce aceasta a fost raportată public pe 21 ianuarie, iar un patch de remediere a început să fie distribuit la începutul lunii februarie.
Conform unei investigații publicate de Bleeping Computer, bug-ul afectează fila Work din Copilot Chat, o funcție integrată în aplicațiile Microsoft 365 — Word, Excel, PowerPoint, Outlook și OneNote — și disponibilă utilizatorilor de business începând din septembrie 2024. Problema ocolește politicile DLP (Data Loss Prevention), adică exact mecanismele pe care organizațiile le activează pentru a împiedica scurgerea sau accesul neautorizat la date sensibile.
Microsoft a recunoscut că „o problemă de cod permite ca elementele din folderele de trimise și ciorne să fie preluate de Copilot, chiar dacă etichetele de confidențialitate sunt configurate”. În mod normal, odată ce un fișier sau un email este marcat ca sensibil — fie manual de utilizator, fie automat de Microsoft 365 — sistemul ar trebui să îl trateze în conformitate cu politicile de protecție a informațiilor din organizație. În acest caz, acea barieră a funcționat defectuos.
Numărul exact al organizațiilor afectate nu a fost dezvăluit, însă printre ele se numără, potrivit surselor citate, Serviciul Național de Sănătate din Marea Britanie (NHS). Microsoft spune că monitorizează în continuare implementarea remediului și ia legătura direct cu utilizatorii afectați pentru a verifica dacă soluția funcționează, fără să ofere o dată clară pentru rezolvarea completă a problemei.
Relaționat
Incidentul vine într-un context mai larg de critici legate de modul în care Microsoft integrează funcțiile de inteligență artificială în produsele sale. Windows Recall, care captura periodic ecranul utilizatorului pentru a permite căutări în activitatea anterioară, a stârnit îngrijorări serioase legate de confidențialitate înainte de a fi retras temporar.
Copilot Vision, o altă funcție AI, a ridicat întrebări similare. Potrivit unor informații recente, compania ar analiza chiar posibilitatea de a reduce prezența Copilot în aplicațiile Windows 11.
Pentru utilizatorii și administratorii de sistem care gestionează date sensibile în ecosistemul Microsoft 365, incidentul ridică o întrebare legitimă: în ce măsură politicile de protecție a datelor configurate de organizații rezistă în fața erorilor dintr-un strat software pe care nu îl controlează direct?
