Microsoft 365 Copilot Chat čítal a sumarizoval e-maily označené ako dôverné napriek tomu, že mali nastavenú DLP politiku zabraňujúcu prístupu automatizovaných nástrojov, potvrdila spoločnosť portálu Techbyte.sk. Chybu, zaevidovanú pod označením CW1226324, identifikovali prvýkrát 21. januára., napísal server TECHBYTE.sk.
Problém sa prejavoval v záložke „work tab“ v Copilot Chat. Správy uložené v priečinkoch odoslanej pošty a konceptov v Outlooku pre počítače AI spracúvala a vytvárala z nich súhrny, hoci mali priradenú citlivostnú značku. Copilot Chat pritom Microsoft distribuoval do firemných aplikácií Word, Excel, PowerPoint, Outlook a OneNote pre platiacich podnikových zákazníkov až v septembri 2025, teda len niekoľko mesiacov pred tým, ako sa chyba objavila.
Stanovisko Microsoftu
„E-mailové správy používateľov s aplikovanou značkou dôvernosti boli Microsoft 365 Copilot nesprávne spracované,“ uviedla spoločnosť pre Techbyte.sk. V ďalšom stanovisku doplnila, že nikto prostredníctvom tejto chyby nezískal prístup k informáciám, na ktoré nemal oprávnenie. „Hoci naše kontroly prístupu a zásady ochrany údajov zostali neporušené, toto správanie nezodpovedalo našej predstave o fungovaní Copilotu, ktorý je navrhnutý tak, aby chránený obsah vylúčil z prístupu Copilotu,“ dodala spoločnosť.
Práve podnikoví zákazníci, pre ktorých bol Copilot Chat primárne určený, pracujú s dokumentmi a e-mailmi podliehajúcimi prísnym pravidlám ochrany dát. Chyba sa teda dotkla presne tej skupiny, pre ktorú sú citlivostné značky a DLP politiky každodennou súčasťou práce.
Oprava bez termínu
Začiatkom februára Microsoft začal nasadzovať opravu. Konečný termín úplného odstránenia problému však nezverejnil. Nezverejnil ani počet zasiahnutých používateľov alebo organizácií. Spoločnosť iba uviedla, že rozsah dopadu sa môže meniť s pokračujúcim vyšetrovaním.
V stredu firma oznámila, že monitoruje nasadzovanie opravy a kontaktuje časť dotknutých používateľov, aby overila jej funkčnosť. Pre podnikových zákazníkov bola celosvetovo nasadená aktualizácia konfigurácie, uvádza server. Incident bol zaradený do kategórie „advisory“, ktorá sa podľa Techbyte.sk bežne používa pri problémoch s obmedzeným rozsahom alebo dopadom.
Microsoft zatiaľ neupresnil, koľko organizácií bude ešte kontaktovať ani kedy považuje nasadzovanie opravy za ukončené.
