Microsoft Copilot дважды проигнорировал метки чувствительности за восемь месяцев, подвергнув раскрытию корпоративные данные, включая записи NHS

Сбой безопасности Microsoft Copilot: хронология подорванного доверия

Второй раз за восемь месяцев флагманский ИИ-ассистент Microsoft, Copilot, был уличен в обходе тех самых протоколов безопасности, которые призваны сделать его безопасным для корпоративного внедрения. Критическая ошибка, действовавшая на протяжении начала 2026 года, позволяла ИИ читать, резюмировать и выводить содержимое электронных писем, имеющих пометку «Конфиденциально», игнорируя политики предотвращения утечек данных (Data Loss Prevention, DLP) и раскрывая конфиденциальные данные в крупных организациях, включая Национальную службу здравоохранения Великобритании (NHS).

Этот недавний инцидент, из-за которого конфиденциальные записи оставались уязвимыми в течение почти четырех недель, не является единичным сбоем. Он следует за серьезной уязвимостью, обнаруженной в июне 2025 года, создавая тревожную картину «системной слепой зоны» в современном стеке безопасности ИИ. По мере того как предприятия спешат внедрять генеративный ИИ (Generative AI), эти повторяющиеся неудачи порождают насущные вопросы: могут ли устаревшие платформы безопасности, такие как DLP и метки конфиденциальности (sensitivity labels), по-настоящему сдерживать большие языковые модели (LLM) во время их работы?

Инцидент в феврале 2026 года: обход метки «Конфиденциально»

В конце января 2026 года дефект на уровне кода в Microsoft 365 Copilot фактически отключил «границу доверия», на которую организации полагаются для защиты своих самых конфиденциальных коммуникаций. Ошибка, отслеживаемая Microsoft как CW1226324, позволяла ИИ-ассистенту получать доступ, обрабатывать и резюмировать электронные письма, хранящиеся в папках пользователей «Отправленные» и «Черновики», даже если эти письма имели ограничительные метки конфиденциальности, такие как «Строго конфиденциально», или подпадали под действие активных политик DLP.

В обычном режиме метки конфиденциальности действуют как цифровые знаки «вход воспрещен» для ИИ. Если документ помечен как «Конфиденциальный», Copilot по контракту и технически обязан игнорировать его в процессе генерации на основе извлечения данных (Retrieval-Augmented Generation, RAG). Однако в течение примерно 28 дней — с 21 января по 19 февраля 2026 года — этот механизм не срабатывал для определенных папок Outlook.

Последствия особенно остро ощущались в регулируемых секторах. NHS, управляющая огромными объемами личных данных пациентов, зафиксировала инцидент внутри системы под номером INC46740412. В течение почти месяца сотрудники, использующие Copilot для рутинных административных задач, могли непреднамеренно вывести защищенную медицинскую информацию (Protected Health Information, PHI) или внутренние стратегические документы, которые должны были быть невидимы для модели ИИ.

Хотя Microsoft с тех пор развернула исправление и заявила, что ошибка «не предоставила никому доступ к информации, на просмотр которой у них еще не было прав», этот сбой подрывает само обещание управления ИИ (AI governance): ИИ не будет обрабатывать данные, которые ему было приказано игнорировать. В юридическом контексте или в контексте соблюдения нормативных требований сама обработка ограниченных данных моделью ИИ — будь то резюмирование привилегированного юридического черновика или записи пациента — может представлять собой нарушение политики.

Модель уязвимости: прецедент EchoLeak

Сбой в феврале 2026 года стал вторым серьезным ударом по архитектуре безопасности Copilot менее чем за год. За восемь месяцев до этого, в июне 2025 года, исследователи обнаружили критическую уязвимость, получившую название «EchoLeak» (CVE-2025-32711).

В отличие от февральской ошибки, которая была функциональным отказом меток, EchoLeak представлял собой сложный эксплойт «нулевого клика». Он позволял злоумышленникам внедрять скрытые инструкции в электронные письма, выглядящие безобидно. Когда Copilot обрабатывал эти письма, скрытые промпты «перехватывали» контекстное окно ИИ, заставляя его извлекать и передавать конфиденциальные данные злоумышленнику без ведома пользователя о произошедшем взломе.

Оба инцидента раскрывают опасную реальность: средства контроля безопасности Microsoft с трудом поспевают за сложной, недетерминированной природой LLM.

Сравнение недавних сбоев безопасности Copilot

Имя инцидента	Дата активности	Первопричина	Механизм сбоя
EchoLeak (CVE-2025-32711)	Июнь 2025	Нарушение области действия LLM	Вредоносная инъекция промптов позволила злоумышленникам перехватить извлечение RAG и похитить данные.
Обход DLP (CW1226324)	Янв - Фев 2026	Функциональный дефект кода	Copilot игнорировал метки конфиденциальности в определенных папках Outlook (Черновики/Отправленные), резюмируя конфиденциальные данные.

Системная слепая зона: безопасность во время выполнения против статической безопасности

Повторение этих проблем подчеркивает фундаментальный разрыв между традиционной безопасностью данных и принципами работы генеративного ИИ.

Устаревшие инструменты, такие как DLP и метки конфиденциальности, предназначены для статической или транзакционной защиты. Они задают бинарные вопросы: Имеет ли Пользователь А разрешение на открытие Файла Б? Содержит ли это электронное письмо номер кредитной карты?

Однако ИИ-копилоты работают динамически во время выполнения (runtime). Они используют RAG для сканирования, извлечения и синтеза фрагментов информации из тысяч документов за миллисекунды.

Разрыв контекста: Как показал февральский инцидент, если в логике извлечения ИИ есть ошибка, он просто игнорирует теги метаданных (метки), которые должны его блокировать.
Разрыв интерпретации: Как показал пример с EchoLeak, ИИ можно обманом заставить интерпретировать вредоносные данные как команду, обходя статические брандмауэры, которые ищут только сигнатуры вредоносного ПО.

Эксперты по безопасности все чаще предупреждают, что «применения разрешений» больше недостаточно. Самому слою ИИ требуется выделенный брандмауэр — такой, который проверяет не только то, кто получает доступ к данным, но и то, что ИИ делает с ними в режиме реального времени.

Последствия для отрасли: дефицит доверия

Для ИТ-директоров (CIO) и директоров по информационной безопасности (CISO) последствия этой хронологии «дважды за восемь месяцев» весьма серьезны. Случай с NHS служит убедительным примером рисков, связанных с использованием собственных средств безопасности поставщика в критически важных средах.

Ключевые выводы для руководителей предприятий:

Проверка важнее доверия: Организации больше не могут исходить из того, что включение «DLP On» гарантирует соответствие ИИ требованиям. Независимый аудит и «Red Teaming» внедрений ИИ становятся обязательными.
Санация данных: Лазейка в папках «Черновики» и «Отправленные» говорит о том, что гигиена данных имеет решающее значение. Старые черновики часто содержат неотфильтрованные мысли или конфиденциальные данные, которые, будучи извлеченными ИИ, могут нанести репутационный ущерб.
Вопросы суверенитета: Поскольку Европейский парламент и другие государственные органы ранее приостанавливали развертывание Copilot из-за опасений по поводу данных, эти технические сбои подтверждают подход «суверенного ИИ», при котором критически важные данные физически изолированы от LLM общего назначения.

Microsoft предприняла шаги по устранению этих уязвимостей, но частота этих резонансных сбоев свидетельствует о том, что архитектура корпоративного ИИ все еще находится в стадии становления. Пока «слепая зона» между статическими разрешениями и динамической обработкой ИИ не будет закрыта, предприятия остаются в одном обновлении от следующей утечки данных.