微軟近日確認,Microsoft 365 Copilot存在一個漏洞。自1月下旬以來,這個AI助手一直在未授權的情況下,讀取並總結用戶標記為「機密」的郵件內容,繞過了企業所依賴的數據防泄漏(DLP)策略。
據BleepingComputer報道,該漏洞於1月21日首次被發現,主要影響Copilot工作標籤頁中的聊天功能。問題表現為:即使郵件已應用敏感度標籤,且企業配置了相應的DLP策略,Copilot仍會錯誤處理用戶已發送和草稿文件夾中的郵件內容,其中包括那些明確限制自動化工具訪問的機密資訊。
微軟解釋稱,此次問題是由代碼錯誤導致的,使得Copilot無視機密標籤的設置,抓取並處理了用戶發送和草稿文件夾中的項目。微軟同時強調,該漏洞並未向任何原本無權查看這些資訊的人提供訪問權限,問題僅在於Copilot的行為未能符合「排除受保護內容」的設計預期。
目前,微軟已於2月初開始在全球範圍內為企業客戶部署相關的配置更新,並表示將持續監測修復效果。
