Close Menu
    Четвер, 19 Лютого
    ТЕХНОЛОГІЇ

    Баг у Microsoft 365 Copilot відкрив доступ до конфіденційних листів

    Anna NevolinaBy Коментарів немає2 Mins Read
    Баг у Microsoft 365 Copilot відкрив доступ до конфіденційних листів

    У Microsoft 365 Copilot виявили помилку, через яку ШІ-помічник міг обробляти електронні листи з мітками конфіденційності без належних обмежень доступу. Збій тривав із кінця січня. Компанія вже розгортає виправлення, але деталі щодо масштабу інциденту поки не розкриті.

    Як саме працювала помилка

    За інформацією Bleeping Computer, проблема була пов’язана з логікою обробки даних Copilot у взаємодії з поштовими папками Outlook.

    Через баг:

    • Copilot отримував доступ до листів у папках “Надіслані” та “Чернетки”;
    • конфіденційні мітки (sensitivity labels) не блокували обробку в окремих сценаріях;
    • ШІ міг створювати узагальнення вмісту таких листів у межах Copilot Chat.

    Йдеться не про зовнішній витік чи хакерську атаку, а про внутрішню логічну помилку в механізмах доступу та індексації.

    Читайте також:  ШІ в неправильних руках: економіст Microsoft попередив про небезпеку

    Які ризики виникали

    Copilot працює на основі контексту з документів, листування та календарів у Microsoft 365. Якщо система неправильно інтерпретує політики доступу, це може означати:

    • формування зведень на основі чутливої переписки;
    • відображення змісту захищених листів у відповідях ШІ;
    • потенційне розкриття інформації всередині організації.

    Microsoft підтвердила, що листи з мітками конфіденційності оброблялися некоректно. Водночас компанія не заявляє про підтверджені випадки зовнішнього витоку даних.

    Кого це могло зачепити

    Copilot Chat інтегрований у Word, Excel, PowerPoint, Outlook і OneNote в межах Microsoft 365. Масове розгортання серед платних бізнес-клієнтів почалося у вересні 2025 року.

    Інцидент стосується корпоративного сегмента, де активно використовуються мітки конфіденційності для внутрішньої та регульованої інформації.

    Реакція Microsoft

    Компанія повідомила, що:

    • почала розгортати виправлення на початку лютого;
    • продовжує моніторинг роботи патчу;
    • контактує з частиною клієнтів для перевірки усунення проблеми;
    • проводить додаткову оцінку впливу.
    Читайте також:  Представлено OneXPlayer X1 - Windows-планшет та ігрова консоль в одному пристрої

    Інцидент класифіковано як advisory — тобто проблему сервісного характеру з обмеженим або контрольованим впливом.

    Ширший контекст

    Ситуація демонструє ключовий виклик для корпоративного ШІ: навіть за наявності політик Data Loss Prevention і sensitivity labels помилки в інтеграції можуть порушувати очікувану модель доступу.

    Для компаній, що впроваджують ШІ у внутрішні процеси, це ще один аргумент на користь:

    • регулярного аудиту політик доступу;
    • тестування нових функцій у контрольованому середовищі;
    • чіткого логування дій ШІ-асистентів.

    Також читайте: