Niewielki fragment kodu wystarczył, aby w usłudze Microsoft 365 Copilot Chat pojawił się krytyczny problem: algorytm, który ma pomagać w pisaniu i streszczaniu korespondencji, mógł pobierać treści oznaczone przez organizację jako poufne. Odkrycie podważyło zaufanie do narzędzi generatywnej sztucznej inteligencji wykorzystywanych w środowiskach korporacyjnych i ponownie zwróciło uwagę na ryzyko, że nawet najbardziej rozbudowane zabezpieczenia nie zawsze nadążają za tempem wprowadzania nowych funkcji.
Na czym polegała luka
Zgłoszenia administratorów pokazały, że Copilot potrafił wyświetlać streszczenia wiadomości znajdujących się w folderach Wysłane oraz Wersje robocze, mimo że te same wiadomości były oznaczone etykietą „Confidential” w systemie klasyfikacji Microsoft Purview. Analiza wykazała, iż błędne reguły filtrowania w module odpowiedzialnym za obsługę zapytań sprawiały, że zapytania LLM omijały restrykcje Data Loss Prevention. W praktyce wystarczyło, by użytkownik poprosił asystenta o „podsumowanie moich ostatnich maili”, a model zwracał fragmenty także tych, które zgodnie z polityką miały pozostać poza jego zasięgiem. Luka była obecna od kilku tygodni, co oznacza, że niektórzy klienci mogli nieświadomie ujawnić wrażliwe treści wewnątrz własnej organizacji.
Dlaczego mechanizmy ochrony zawiodły
Klasyczne rozwiązania DLP działają na poziomie transportu lub przechowywania danych: blokują wysyłkę, szyfrują zawartość skrzynki albo uniemożliwiają kopiowanie plików. Generatywna AI przetwarza jednak dane w inny sposób – tworzy wektorową reprezentację kontekstu i agreguje informacje z wielu źródeł, co utrudnia tradycyjne filtrowanie. W tym przypadku etykieta poufności poprawnie sygnalizowała ograniczenia, lecz błąd w logice koprocesora AI sprawił, że zasady nie zostały przekazane do silnika modelu językowego. Paradoksalnie to właśnie szybkość iteracji nad nowymi funkcjami okazała się piętą achillesową: zmiana drobnego fragmentu kodu, która miała poprawić trafność odpowiedzi, przerwała most między warstwą klasyfikacji a warstwą generatywną. W rezultacie system działał bez pełnej świadomości kontekstu bezpieczeństwa, a mechanizmy typu Zero Trust nie zostały uruchomione.
Odpowiedź Microsoftu i harmonogram napraw
Producent potwierdził problem, wskazując na błąd w procedurach walidacji metadanych wiadomości. Zgodnie z komunikatem, poprawka jest wdrażana etapami w modelu ring deployment – najpierw otrzymują ją wybrani klienci korporacyjni, a następnie cała baza użytkowników. Firma zaleciła administratorom ścisłe monitorowanie Centrum Administracyjnego, włączenie rozszerzonych logów audytu oraz tymczasowe ograniczenie zakresu zapytań kierowanych do Copilota. Ponadto Microsoft zapowiedział aktualizację dokumentacji Secure AI, która ma dokładniej opisywać, w jaki sposób etykiety klasyfikacji współpracują z funkcjami LLM w ramach platformy Microsoft 365.
Wnioski dla zespołów bezpieczeństwa
Incydent przypomina, że implementacja narzędzi AI w środowisku produkcyjnym wymaga nie tylko konfiguracji polityk DLP, lecz także ciągłego testowania, czy te polityki są respektowane na każdym etapie przetwarzania. Eksperci zalecają stworzenie odrębnej matrycy ryzyka dla usług generatywnych, regularne testy penetracyjne obejmujące zapytania do modeli językowych oraz audyt uprawnień na zasadzie najmniejszych możliwych praw. Warto również szkolić pracowników, aby unikali przekazywania poufnych fraz w poleceniach kierowanych do asystentów AI. Tylko połączenie edukacji użytkowników, automatycznych barier technicznych i logicznej segmentacji danych pozwoli zminimalizować skutki podobnych incydentów w przyszłości.
