Un bug de Microsoft 365 Copilot expone correos confidenciales a riesgos de privacidad
Na última semana, a Microsoft reconheceu um problema significativo em seu assistente de inteligência artificial, o Microsoft 365 Copilot. Um erro de código resultou na leitura e resumo de e-mails marcados como “confidenciais”, mesmo em organizações que tinham políticas de Prevenção de Perda de Dados (DLP) ativas para proteger essas informações. O incidente, identificado internamente como CW1226324, foi detectado em 21 de janeiro e afetou particularmente a funcionalidade do chat de Copilot na aba de trabalho.
As etiquetas de confidencialidade no Microsoft 365 não são meramente avisos visuais, mas uma parte crucial do Microsoft Purview, que classifica informações e aplica proteções de acordo com o nível de sensibilidade. As políticas DLP costumam atuar como uma linha de defesa final, prevenindo que informações delicadas sejam processadas ou compartilhadas de maneira inadequada. No entanto, devido a um erro de código, o Copilot Chat foi capaz de acessar e processar mensagens de pastas como Enviados e Borradores, ignorando as diretrizes de segurança estabelecidas.
Este incidente surge em um momento em que a Microsoft está expandindo sua implementação do Copilot para diversas aplicações, incluindo Word, Excel e Outlook, em um esforço para integrar a inteligência artificial no fluxo de trabalho diário das empresas. O “novo funcionário” digital tornou-se uma parte estratégica para muitas organizações, especialmente em setores altamente regulados, o que torna erros de controle especialmente sensíveis.
Embora a Microsoft tenha classificado o incidente como um “advisory” com impacto “limitado”, a empresa não divulgou o número exato de organizações ou usuários afetados e admitiu que a situação poderia evoluir conforme a investigação avançasse. Além disso, a companhia começou a implementar uma correção no início de fevereiro e continua monitorando a eficácia das medidas.
Especialistas alertam que este incidente serve como um lembrete de que a segurança nos dados não deve depender de uma única camada de defesa. A combinação de etiquetagem, políticas DLP e controles de acesso é crucial para proteger informações sensíveis. As empresas precisam tratar cada falha como um sinal de que os sistemas de automação devem ser constantemente avaliados e ajustados para manter a confiança na inteligência artificial como uma ferramenta de trabalho.
