Критическая уязвимость в Microsoft 365 Copilot раскрывает конфиденциальные данные при суммаризации ИИ
Был обнаружен серьезный промах в системе безопасности Microsoft 365 Copilot, свидетельствующий о том, что ИИ-ассистент суммаризировал конфиденциальные электронные письма с конца января 2026 года. Этот сбой, позволивший обойти установленные политики предотвращения утечек данных (Data Loss Prevention, DLP) и метки конфиденциальности, предоставил ИИ возможность доступа и обработки закрытой информации, хранящейся в папках пользователей «Отправленные» (Sent Items) и «Черновики» (Drafts).
Для предприятий, полагающихся на экосистему Microsoft для поддержания строгого управления данными, этот инцидент подчеркивает растущую сложность интеграции генеративного ИИ (Generative AI) в защищенные корпоративные среды. Microsoft признала проблему, вызванную программной ошибкой, и начала развертывание исправления, хотя полный масштаб последствий все еще расследуется.
Механика нарушения
Уязвимость, отслеживаемая под идентификатором рекомендации CW1226324, затрагивает непосредственно функцию чата Copilot на «рабочей вкладке» (work tab). При нормальной работе Microsoft 365 Copilot спроектирован с учетом соблюдения границ комплаенса организации, что означает невозможность извлечения или суммаризации контента, помеченного как конфиденциальный или ограниченный политиками DLP.
Однако «неуказанная программная ошибка» фактически нейтрализовала эти защитные меры для определенных категорий электронной почты. Когда пользователь взаимодействовал с Copilot, ИИ мог извлекать данные из писем, которые были явно помечены как конфиденциальные, при условии, что эти письма находились в папках отправленных сообщений или черновиков пользователя.
В следующей таблице описано несоответствие между предполагаемыми протоколами безопасности и поведением, проявленным во время этого инцидента:
Таблица: Анализ сбоя протокола безопасности
| Функция | Предполагаемое поведение системы безопасности | Поведение во время сбоя |
|---|---|---|
| Метки конфиденциальности | ИИ блокирует доступ к документам/письмам, помеченным как «Конфиденциально» или «Только для внутреннего использования». |
ИИ получал доступ и суммаризировал помеченные письма в папках «Отправленные» и «Черновики». |
| Политики DLP | Предотвращает извлечение данных из защищенных источников в несанкционированные инструменты. |
Политики были обойдены, что позволило данным попасть в контекстное окно Copilot. |
| Охват папок | Сканирование ограничено авторизованными пользователем элементами папки «Входящие» и безопасными каталогами. |
Ошибочно расширено активное сканирование на папки «Отправленные» и «Черновики». |
Этот сбой вызывает особую озабоченность, поскольку папки «Отправленные» и «Черновики» часто содержат наиболее чувствительные версии внутренних коммуникаций — недоработанные стратегические документы, внутренние финансовые обсуждения или кадровые вопросы, которые еще не готовы к широкому распространению или заархивированы для ведения учета.
Хронология обнаружения и реагирования
Проблема была впервые обнаружена 21 января 2026 года, однако она сохранялась в течение нескольких недель, прежде чем был принят комплексный план по ее устранению. Microsoft публично подтвердила ошибку в середине февраля, заявив, что она позволяла ИИ игнорировать метки конфиденциальности, на которые полагаются ИТ-администраторы для защиты своих цифровых периметров.
Согласно отчетам, развертывание исправления началось в начале февраля. В настоящее время Microsoft связывается с подмножеством затронутых пользователей для проверки эффективности патча, но компания не предоставила окончательных сроков полного решения проблемы во всем мире. Инцидент в настоящее время классифицируется как рекомендация (advisory) — категория, часто резервируемая для проблем с ограниченным охватом, хотя потенциал утечки данных в отраслях с высокими требованиями к комплаенсу предполагает, что последствия могут быть качественными, а не просто количественными.
Последствия для внедрения ИИ в предприятиях
Этот инцидент служит суровым напоминанием о природе «черного ящика» при интеграции ИИ в унаследованные ИТ-инфраструктуры. В то время как организации спешат внедрять такие инструменты, как Microsoft 365 Copilot, для повышения производительности, архитектура безопасности, управляющая этими инструментами, должна развиваться для обработки недетерминированного поведения.
Ключевые проблемы безопасности:
- Потеря доверия: Когда базовой инфраструктурой игнорируются метки безопасности, доверие к автоматизированным инструментам комплаенса снижается. ИТ-руководители могут не решиться на дальнейшее развертывание возможностей ИИ без более веских гарантий.
- Теневой доступ: Ошибка иллюстрирует, что агенты ИИ часто работают с иными правами доступа или путями доступа, чем обычные пользователи или традиционные инструменты поиска, создавая точки «теневого доступа», которые могут быть пропущены при традиционных аудитах.
- Нарушения нормативных требований: Для таких секторов, как здравоохранение и финансы, даже временное раскрытие конфиденциальных черновиков ИИ-суммаризатору может представлять собой утечку данных, подлежащую отчетности в соответствии с такими правилами, как GDPR или HIPAA.
Рекомендации для ИТ-администраторов
В свете этой рекомендации Creati.ai рекомендует ИТ-администраторам и центрам управления безопасностью (SOC) предпринять немедленные упреждающие шаги. В то время как Microsoft развертывает исправление, полагаться исключительно на патчи вендора в средах с высоким уровнем безопасности недостаточно.
- Изучите рекомендацию CW1226324: Администраторам следует постоянно отслеживать статус этой конкретной рекомендации в Центре администрирования Microsoft 365, чтобы подтвердить, когда их арендатор (tenant) получит исправление.
- Аудит взаимодействий с ИИ: По возможности проверьте журналы аудита взаимодействий с Copilot, которые имели место в период с конца января по середину февраля, обращая особое внимание на запросы, связанные с чувствительными ключевыми словами.
- Усильте обучение сотрудников: Напомните персоналу, что, хотя инструменты ИИ мощны, им следует избегать ввода или упоминания строго засекреченной информации в интерфейсах чатов ИИ до тех пор, пока не будет гарантирована стабильность этих инструментов.
По мере развития отрасли ожидается, что такие вендоры, как Microsoft, будут внедрять более строгие механизмы «отказа в доступе по умолчанию» (fail-closed), когда ИИ запрещает доступ, если политика безопасности не может быть проверена, а не ошибки «открытого доступа при сбое» (fail-open), которые раскрывают конфиденциальные данные. Эта ошибка, вероятно, приведет к созданию нового стандарта проверки разрешений ИИ в корпоративных пакетах приложений.
