Błąd w Copilocie umożliwiał analizę poufnych e-maili

Nieprawidłowe działanie sztucznej inteligencji potrafi zaskoczyć zarówno użytkowników, jak i deweloperów. Błędy związane z bezpieczeństwem mogą zagrażać danym – tak było chociażby w opisywanym przez nas przypadku Clawdbot, którego bramki były niepoprawnie skonfigurowane i pozwalały na uzyskanie dostępu do zgromadzonych informacji osobom trzecim.

Poufne dane analizowane przez agenta AI

Wpadki zaliczają również najwięksi gracze na rynku – w tym Microsoft. Jak podaje BleepingComputer, firma z Redmond potwierdziła błąd w swoim agencie AI Copilot wchodzącego w skład pakietu Microsoft 365, który pozwala na odczytywanie i podsumowywanie wiadomości znajdujących się w folderach Wysłane oraz Wersje robocze. Chodzi konkretnie o e-maile, które nie powinny mieć takiej możliwości ze względu na oznaczenie ich etykietą dotyczącą wrażliwej zawartości.

„Czat Microsoft 365 Copilot podsumowuje wiadomości e-mail, mimo że wiadomości te mają przypisaną etykietę poufności i skonfigurowaną zasadę DLP” – czytamy w stanowisku przedsiębiorstwa cytowanym przez BleepingComputer.

Dokładna skala pozostaje nieznana

Według Microsoftu, błąd w kodzie odpowiadający za niewłaściwe działanie asystenta Copilot został już zidentyfikowany, a na początku lutego pojawiła się łatka eliminująca niepożądane działanie. Firma współpracuje z grupą użytkowników dotkniętych problemem w celu sprawdzenia, czy aktualizacja działa poprawnie.

Nie wiadomo jednak, kiedy łatka będzie dostępna dla wszystkich osób korzystających z pakietu Microsoft 365. Brak jest również dokładnych danych co do zasięgu problemu; z jednej strony przedsiębiorstwo wskazało, że w miarę badania sprawy grono organizacji dotkniętych wadliwym działaniem sztucznej inteligencji może ulec zmianie. Sam incydent oznaczony jest z kolei jako „porada”, co wskazywałoby na niewielkie grono poszkodowanych.