Microsoft Copilot несколько недель читал закрытые письма пользователей и никто этого не замечал

Microsoft подтвердила: из-за программной ошибки ИИ-помощник Copilot Chat несколько недель обрабатывал и пересказывал содержимое писем, помеченных как конфиденциальные, даже когда в организации были настроены правила защиты от утечек данных (DLP). Copilot игнорировал метки секретности и пересказывал то, что ему видеть не полагалось.

Ошибку зафиксировали 21 января 2026 года, исправление начали раскатывать 10 февраля. К 20 февраля обновление дошло до большинства затронутых сред.

Уязвимость получила внутренний идентификатор CW1226324 и затронула Copilot Chat в режиме «рабочей вкладки» через неё корпоративные пользователи Microsoft 365 взаимодействуют с ИИ-ассистентом в Word, Excel, PowerPoint и Outlook.

Из-за ошибки в коде Copilot извлекал письма из папок «Отправленные» и «Черновики» в Outlook, включая сообщения с метками конфиденциальности. Эти метки, часть системы Microsoft Purview, существуют для того, чтобы автоматические инструменты не имели доступа к закрытой информации. Но Copilot их не учитывал.

Microsoft уточняет: ошибка не давала доступ к данным тем, кто не имел на это прав. Copilot пересказывал содержимое писем их же автору. Но сам факт обработки конфиденциальных данных языковой моделью в обход политик безопасности, серьёзная проблема, особенно для регулируемых отраслей. Британская NHS зарегистрировала инцидент под номером INC46740412.

Баг с метками конфиденциальности, не первая проблема безопасности в Copilot за этот год.

В январе 2026 года исследователи из Varonis Threat Labs опубликовали детали атаки Reprompt, которая позволяла похищать данные из Copilot Personal одним кликом по ссылке. Жертве достаточно перейти по внешне безобидному URL-адресу Microsoft, и злоумышленник получал возможность управлять сессией Copilot в фоновом режиме, извлекая данные порциями. Пользователь мог закрыть вкладку, атака продолжалась. Microsoft исправила уязвимость в январском обновлении.

Ещё раньше, на конференции Black Hat USA 2024, исследователь Майкл Баргури показал, как боты Copilot Studio позволяют извлекать закрытые корпоративные данные в обход защитных механизмов.

На фоне этих событий 17 февраля ИТ-служба Европейского парламента отключила встроенные ИИ-функции на рабочих планшетах депутатов. В письме, попавшем к журналистам Politico, говорится:

Парламент не может гарантировать безопасность данных, передаваемых на серверы разработчиков ИИ, а полный объём передаваемой информации, пока ещё оценивается.

Отключение затронуло текстовые помощники и средства пересказа, те же функции, что предлагает Copilot.

Copilot и аналогичные ИИ-помощники встроены в инфраструктуру, через которую проходят внутренние документы и финансовые отчёты. Когда такой инструмент обрабатывает закрытые данные в обход политик, это подрывает модель доверия корпоративной безопасности. Глава ImmuniWeb Илья Колоченко предупредил:

Подобные инциденты участятся, потому что организации внедряют ИИ быстрее, чем обеспечивают его безопасность.

Microsoft подчёркивает, что контроль доступа нарушен не был. Но метки конфиденциальности, на которые полагаются тысячи организаций, несколько недель не работали, и обнаружили это не разработчики, а пользователи.