近期,微軟確認 Microsoft 365 Copilot 存在一個嚴重的資訊安全漏洞。在1月下旬開始,其 AI 助手出現未經授權的情況下,自動讀取並總結用戶標記為「機密」的郵件,並且可以繞過企業依賴的數據防洩漏(DLP)策略。
據 BleepingComputer 介紹,漏洞最早在1月21日被察覺,並影響到 Copilot 工作標籤頁的聊天功能。
在用戶郵件採用敏感度標籤並配置 DLP 策略的情況下,Copilot 仍舊會錯誤的進行已發送或草稿文件夾中的內容,甚至包含明確限制自動化工具訪問的機密資料。
微軟表示,問題的原因在於代碼錯誤導致 Copilot 無視機密標籤設置,從而直接抓取發送和草稿文件夾中的項目。為了消除用戶顧慮,微軟強調,漏洞不會向任何沒有查看權限的人提供信息,只是 Copilot 的行為不符合「排除受保護內容」的設計預期,並不會導致資料洩露。
2月初,微軟開始在全球範圍內為企業客戶部署配置更新,將會一直持續監測修復效果,杜絕事件再次發生。
