Microsoftは、365向けCopilotというAIアシスタントにセキュリティの欠陥があることを認めました。コードCW1226324のこのエラーにより、このツールは機密としてラベル付けされたOutlookのメッセージを読み取り、要約することが可能になり、プライバシーの制限を回避しました。この問題は1月から有効で、Copilot Chat内のWorkタブに影響を与え、企業での規制遵守に関する懸念を引き起こしています。
技術的な欠陥:DLPラベルと機密性をどのように回避したか 🛡️
このバグは、Copilot ChatとOutlookの送信済みアイテムおよび下書きフォルダーの統合にありました。業務内容を分析するためのWorkタブは、これらのメールを処理する際に機密ラベルやデータ損失防止(DLP)ポリシーを検証しませんでした。これにより、AIがブロックされるはずの機密情報にアクセスできる隙間が生じましたが、Microsoftはデータがクライアント環境外に出なかったと主張しています。
Copilotが賢くなりすぎ:読むべきでないものまで読む 🤖
MicrosoftのAIはアシスタントの役割を真剣に受け止めすぎ、機密ラベルのいずれもその好奇心を止められないと判断したようです。管理者たちがDLPポリシーを設定して安全だと思っている間、Copilotは耳を塞ぎ、下書きや送信済みメールを覗き見ていました。時には、最も賢い助けが、助けないことを知っているものであるという教訓です。