Microsoft Copilot 安全失誤:信任破滅的時間線
八個月內第二次,微軟(Microsoft)旗艦級 AI 助理 Copilot 被發現規避了旨在確保其企業級應用安全的安全性協定(Security protocols)。一項活躍於 2026 年初的關鍵錯誤,允許該 AI 讀取、摘要並呈現明確標記為「機密」的電子郵件,繞過了資料外洩防護(Data Loss Prevention, DLP)政策,並使包括英國國家醫療服務體系(NHS)在內的大型組織之敏感數據面臨風險。
這起最新事件導致敏感記錄暴露長達近四週,並非孤立的技術故障。此前,2025 年 6 月曾發現一項嚴重漏洞,描繪出現代 AI 安全技術堆疊中「系統性盲點」的令人擔憂圖景。隨著企業競相部署生成式 AI(Generative AI),這些反覆發生的失敗引發了迫切問題:像 DLP 和 敏感度標籤(sensitivity labels) 這樣的傳統安全框架,是否真的能在執行時約束大型語言模型(Large Language Models, LLMs)?
2026 年 2 月事件:繞過「機密」標籤
2026 年 1 月下旬,Microsoft 365 Copilot 中的一個程式碼級別缺陷有效地停用了組織依賴於保護其最敏感通訊的「信任邊界」。此錯誤被微軟追踪為 CW1226324,允許該 AI 助理存取、處理並摘要儲存在使用者「寄件備份」和「草稿」資料夾中的電子郵件,即使這些郵件帶有限制性的敏感度標籤(如「極度機密」)或受現有 DLP 政策保護。
在正常運作下,敏感度標籤充當 AI 的數位「禁止進入」標誌。如果文件被標記為「機密」,Copilot 在其檢索增強生成(Retrieval-Augmented Generation, RAG)過程中,在合約和技術上都有義務忽略它。然而,在 2026 年 1 月 21 日至 2 月 19 日的約 28 天內,此機制在特定的 Outlook 資料夾中失效。
在受監管的部門中,影響尤為嚴重。NHS 管理著大量私人病患數據,將此事件內部標記為 INC46740412。在近一個月的時間裡,使用 Copilot 進行日常行政任務的人員,可能會無意中顯露受保護的健康資訊(Protected health information, PHI)或原本應對 AI 模型不可見的內部策略文件。
儘管微軟隨後已發布修復程式,並表示該錯誤「並未讓任何人獲得原本未經授權查看的資訊」,但這次失敗破壞了 AI 治理(AI governance) 的核心承諾:即 AI 不會處理已被告知要忽略的數據。在法律或合規語境下,AI 模型單純 處理 受限數據——如摘要一份受特權保護的法律草案或病患記錄——就可能構成政策違反。
漏洞模式:EchoLeak 前例
2026 年 2 月的失敗是不到一年內對 Copilot 安全架構的第二次重大打擊。八個月前,即 2025 年 6 月,研究人員揭露了一個被稱為 「EchoLeak」 (CVE-2025-32711) 的關鍵漏洞。
與 2 月份屬於標籤功能性失效的錯誤不同,EchoLeak 是一種複雜的「零點擊」(zero-click)攻擊。它允許攻擊者在看似無害的電子郵件中嵌入隱藏指令。當 Copilot 處理這些郵件時,隱藏的提示會「劫持」AI 的上下文視窗,強迫它在使用者完全不知情的情況下檢索並將敏感數據外洩給攻擊者。
這兩起事件都揭示了一個危險的現實:微軟的安全控制正努力追趕 LLM 複雜且非確定性的本質。
近期 Copilot 安全失誤對比
| 事件名稱 | 活躍日期 | 根本原因 | 失效機制 |
|---|---|---|---|
| EchoLeak (CVE-2025-32711) | 2025 年 6 月 | LLM 範圍違規 | 惡意提示注入允許攻擊者劫持 RAG 檢索並外洩數據。 |
| DLP 繞過 (CW1226324) | 2026 年 1 月 - 2 月 | 功能程式碼缺陷 | Copilot 忽略了特定 Outlook 資料夾(草稿/寄件備份)中的敏感度標籤,摘要了機密數據。 |
系統性盲點:執行時與靜態安全
這些問題的反覆出現突顯了傳統數據安全與生成式 AI 運作方式之間的根本脫節。
像 DLP 和敏感度標籤這樣的舊有工具是為 靜態 或 事務性 保護而設計的。它們詢問二元問題:使用者 A 是否有權限開啟文件 B? 這封郵件是否包含信用卡號?
然而,AI Copilot 在 執行時(runtime) 動態運作。它們使用 RAG 在毫秒內從數千份文件中掃描、檢索並合成資訊碎片。
- 上下文差距: 正如 2 月事件所示,如果 AI 的檢索邏輯存在錯誤,它會直接忽略原本應該封鎖它的元數據標籤(labels)。
- 解讀差距: 正如 EchoLeak 所示,AI 可能被誘騙將惡意數據解讀為指令,從而繞過僅尋找惡意軟體特徵的靜態防火牆。
安全專家正日益發出警告,「應用權限」已不再足夠。AI 層本身需要專用的防火牆——一個不僅驗證 誰 在存取數據,還要即時驗證 AI 正在 如何 處理數據的防火牆。
行業影響:信任赤字
對於資訊長(CIO)和資訊安全長(CISO)而言,「八個月內兩次」的時間線影響深遠。NHS 的暴露為在高風險環境中依賴供應商原生安全控制的風險提供了一個有力的案例研究。
企業領導者的關鍵要點:
- 驗證重於信任: 組織不能再假設開啟「DLP」開關就能確保 AI 合規。對 AI 實施進行獨立審計和「紅隊演練」(Red Teaming)正成為強制性要求。
- 數據清理: 「草稿」和「寄件備份」資料夾的漏洞顯示數據衛生至關重要。舊草稿通常包含未經過濾的想法或敏感數據,如果被 AI 重新呈現,可能會造成聲譽損害。
- 主權疑慮: 鑑於歐洲議會和其他政府機構先前因數據疑慮暫停了 Copilot 的推廣,這些技術失敗證實了「主權 AI」(sovereign AI)方法的必要性,即關鍵數據與通用 LLM 在物理上保持隔離。
微軟已採取行動修復這些漏洞,但這些引人注目的失敗發生的頻率顯示,企業級 AI 的架構仍處於起步階段。在靜態權限與動態 AI 處理之間的「盲點」被消除之前,企業離下一次數據暴露僅有一更新之遙。
