Microsoft 365 Copilot jest promowany jako bezpieczne wsparcie w codziennej pracy, ale i w nim mogą występować nieprawidłowe zachowania. Według niedawnych doniesień błąd w oprogramowaniu sprawia, że asystent AI zyskuje dostęp do poufnych wiadomości e-mail podczas generowania podsumowań. To poważne naruszenie standardów bezpieczeństwa.
Microsoft potwierdził doniesienia o niepokojącym zachowaniu Copilota i pracuje już nad usunięciem usterki. Krytyczna podatność bezpieczeństwa w Microsoft 365 Copilot polega na tym, że jest on w stanie uzyskiwać dostęp do poufnych wiadomości e-mail podczas generowania podsumowań treści, co stanowi bezpośrednie naruszenie standardów bezpieczeństwa spod szyldu Data Loss Prevention (DLP).
Sytuacja ta jest o tyle dotkliwa, że mechanizmy zapobiegania utracie danych, takie jak etykiety poufności, zostały stworzone właśnie po to, by blokować tego typu nieautoryzowany dostęp, a w tym przypadku okazały się bezskuteczne.
Eksperci z Microsoft wyjaśniają, że incydent nie był zamierzonym działaniem, lecz wynikiem błędu programistycznego w kodzie narzędzia. Nieprawidłowość dotyczyła przede wszystkim wiadomości znajdujących się w folderach "Elementy wysłane" oraz "Wersje robocze" programu Outlook, które były przekazywane do Copilota w celu analizy i streszczenia ich zawartości. Problem został oficjalnie zidentyfikowany przez użytkowników 21 stycznia 2026 roku i w dokumentacji technicznej pojawia się pod identyfikatorem CW1226324.
Skala naruszenia jest oceniana jako bardzo wysoka, a proces wdrażania poprawki wciąż trwa. Microsoft rozpoczął udostępnianie rozwiązania 10 lutego, ale do tej pory nie objęło ono wszystkich poszkodowanych subskrybentów. Gigant zapewnia, że utrzymuje kontakt z poszkodowanymi firmami i prowadzi intensywne testy środków naprawczych, by upewnić się, że ostateczna łatka całkowicie wyeliminuje ryzyko. Szczególne szkody ponieśli klienci z sektorów regulowanych - finansowego, rządowego i opieki zdrowotnej - które obowiązują rygorystyczne wymogi zgodności.
Wielu specjalistów oczekuje na pełny raport z incydentu, który ma odpowiedzieć na kluczowe pytanie o genezę błędu. Nie jest jasne, czy podatność ta była obecna w kodzie od samego początku istnienia Copilota w Microsoft 365, czy też pojawiła się po drodze, po którejś z aktualizacji.
Niektórzy zastanawiają się nawet, czy to niedopatrzenie nie wynika z faktu, że Microsoft na coraz większą skalę stosuje vibe coding w tworzeniu swojego oprogramowania. Szacuje się, że już nawet 20-35% kodu w Microsoft pisze teraz sztuczna inteligencja.
