Microsoft раскрыла и уже устранила три критические уязвимости раскрытия информации в Microsoft 365 Copilot и Copilot Chat внутри Edge. Все три CVE опубликованы 7 мая 2026 года, относятся к облачным сервисам и не требуют действий от пользователей или администраторов: исправления внесены на стороне Microsoft. Данных о публичном раскрытии или эксплуатации до публикации нет, но сама история снова показывает главный риск корпоративных ИИ-помощников: они работают рядом с почтой, документами, чатами и внутренними данными компании.
Microsoft Security Response Center опубликовал бюллетени для CVE-2026-26129, CVE-2026-26164 и CVE-2026-33111. Первые две уязвимости затрагивают Microsoft 365 Copilot Business Chat, третья — Copilot Chat в Microsoft Edge. Все три относятся к раскрытию информации, то есть к сценариям, где неавторизованный атакующий потенциально мог получить данные через сеть.
CVE-2026-26129 связана с неправильной обработкой специальных элементов в выводе, который затем использует нижестоящий компонент. Простыми словами: Copilot мог сформировать или передать данные так, что следующий компонент интерпретировал их не как обычный текст, а как управляющие элементы. Для ИИ-систем это особенно неприятный класс ошибок: модель работает с текстом, но этот текст дальше попадает в код, разметку, команды, коннекторы или внутренние обработчики.
CVE-2026-26164 тоже затрагивает M365 Copilot и классифицируется как CWE-74 — неправильная нейтрализация специальных элементов в выводе, который используется другим компонентом. Публичные агрегаторы указывают для неё оценку CVSS 7,5, сетевой вектор атаки, низкую сложность, отсутствие необходимости в правах и взаимодействии пользователя, а также высокий ущерб для конфиденциальности. Код эксплуатации публично не подтверждён.
CVE-2026-33111 относится к Copilot Chat в Microsoft Edge и описана как CWE-77 — неправильная нейтрализация специальных элементов в команде, то есть command injection. Уязвимость также получила CVSS 7,5: атака возможна по сети, без учётной записи и без действий пользователя, основной ущерб — раскрытие данных. OpenCVE указывает, что в CISA KEV эта CVE не числится, а EPSS остаётся низким.
Важная деталь: речь не о патче, который нужно срочно скачать на рабочие станции. Это облачные уязвимости. Microsoft уже закрыла их на уровне сервиса, а пользователям не нужно устанавливать обновление или менять настройки только ради этих трёх CVE. Такой формат соответствует политике Microsoft по раскрытию критических облачных уязвимостей: компания публикует CVE даже тогда, когда клиентам не нужно вручную ставить исправление.
Copilot в Microsoft 365 получает доступ к корпоративному контексту: письмам, документам, Teams-перепискам, календарям, файлам SharePoint и данным, которые разрешены конкретному пользователю. Если в такой системе появляется ошибка обработки команд или специальных элементов, это чревато утечкой внутренних документов, фрагментов переписки, служебной информации и интеллектуальной собственности.
У Copilot уже была похожая предыстория. В июне 2025 года исследователи Aim Security раскрыли EchoLeak — zero-click-сценарий для Microsoft 365 Copilot, который позволял вытягивать чувствительные данные из контекста Copilot без клика по ссылке и без загрузки файла пользователем. Microsoft исправила проблему до публичного раскрытия, но кейс стал показательным: корпоративный ИИ можно атаковать не только через классические уязвимости, но и через промпты, письма, документы и цепочки обработки текста.
В 2026 году появлялись и другие тревожные случаи вокруг Copilot. В феврале–марте Microsoft подтвердила баг, из-за которого Copilot Chat мог суммировать письма с метками конфиденциальности и обходить часть защитных правил DLP. Проблема затрагивала отправленные и черновые письма, а не входящие ящики напрямую, но смысл тот же: ИИ-инструмент оказался слишком близко к данным, которые компания считала ограниченными.
Проблема корпоративного Copilot шире конкретных CVE. ИИ-помощник работает как слой поверх уже существующих прав доступа. Если в SharePoint или OneDrive у сотрудников накопились слишком широкие разрешения, Copilot может просто сделать эти данные легче находимыми. То, что раньше лежало в старой папке и не попадалось на глаза, теперь может всплыть в ответе на обычный вопрос. Уязвимость здесь может быть уже не в коде Microsoft, а в старой гигиене доступов внутри компании.
Службам безопасности стоит проверить права Copilot, доступы к SharePoint, OneDrive и Teams, чувствительные метки, DLP-политики, аудит запросов, сторонние плагины и коннекторы. Особенно важно разграничить доступы, так как доступность всего всем плохо сочетается с ИИ-поиском по корпоративной памяти с точки зрения безопасности.
Отдельно стоит проверить Edge. Copilot Chat встроен в браузер, а браузер часто работает на стыке личного и корпоративного: вкладки, сессии, внутренние порталы, расширения, файлы, открытые документы. CVE-2026-33111 показывает, что браузерный ИИ-помощник нужно учитывать в модели угроз так же серьёзно, как расширения, скрипты и веб-приложения.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
