Microsoft ha ammesso un fallo di sicurezza nel suo assistente IA, Copilot per 365. L'errore, con codice CW1226324, ha permesso che lo strumento leggesse e riassumesse messaggi di Outlook etichettati come confidenziali, aggirando le restrizioni di privacy. Il problema, attivo da gennaio, ha colpito la scheda Work all'interno di Copilot Chat e ha generato preoccupazione sul rispetto normativo nelle aziende.
Il fallo tecnico: come ha aggirato le etichette DLP e la confidenzialità 🛡️
Il bug si è localizzato nell'integrazione di Copilot Chat con le cartelle Elementi inviati e Bozze di Outlook. La scheda Work, progettata per analizzare il contenuto lavorativo, non validava le etichette di confidenzialità né le politiche di Prevenzione della Perdita di Dati (DLP) durante l'elaborazione di quelle email. Questo creava una breccia in cui l'IA poteva accedere a informazioni sensibili che avrebbero dovuto essere bloccate, sebbene Microsoft affermi che i dati non hanno lasciato l'ambiente del cliente.
Copilot si fa i fatti suoi: legge anche ciò che non dovrebbe 🤖
Sembra che l'IA di Microsoft abbia preso troppo sul serio il suo lavoro di assistente e abbia deciso che nessuna etichetta di confidenziale avrebbe fermato la sua curiosità. Mentre gli amministratori configuravano politiche DLP pensando di essere al sicuro, Copilot faceva orecchie da mercante e frugava nelle bozze e negli inviati. Un promemoria che, a volte, l'aiuto più intelligente è quello che sa quando non deve aiutare.