A Microsoft confirmou a existência de uma falha crítica que permitiu o acesso de emails confidenciais de usuários corporativos através do Copilot, sua ferramenta de IA, ignorando políticas de segurança estabelecidas.
O bug fez com que a inteligência artificial resumisse o conteúdo de mensagens protegidas, contrariando as regras de prevenção contra perda de dados (DLP) que deveriam impedir esse comportamento.
De acordo com informações inicialmente divulgadas pelo Bleeping Computer, a vulnerabilidade permitiu que o Copilot Chat lesse e sintetizasse informações de emails desde o final de janeiro.
Mesmo quando as empresas configuravam bloqueios específicos para que dados sensíveis não fossem ingeridos pelo modelo de linguagem, o sistema falhou em respeitar essas diretrizes, expondo correspondências privadas.
O bug CW1226324 e a falha na proteção
O problema foi rastreado internamente pelos administradores de TI sob o código CW1226324. A falha afetou especificamente o recurso de chat do Copilot integrado aos produtos do Microsoft 365, como Word, Excel e PowerPoint.
Segundo a empresa, mensagens de rascunho ou enviadas que possuíam o rótulo de “confidencial” foram processadas incorretamente pela IA.
Normalmente, as etiquetas de confidencialidade servem como uma barreira digital, instruindo o software a não utilizar aquele conteúdo para treinar ou alimentar as respostas do assistente.
No entanto, durante semanas, o Copilot ignorou essas restrições, acessando pastas de Itens Enviados e Rascunhos e gerando resumos do conteúdo protegido para os usuários pagantes do serviço.
Correção e resposta da Microsoft
A gigante de Redmond afirmou que começou a distribuir uma correção para o problema no início de fevereiro. Apesar de reconhecer o erro de segurança, a empresa não detalhou quantos clientes corporativos foram afetados pela exposição indevida.
O incidente levanta questões sobre a confiabilidade das ferramentas de IA generativa em ambientes que exigem sigilo absoluto de dados.
Leia também:
- Windows 11 para insiders recebe teste de velocidade da internet direto na barra de tarefas
- AMD lança novos drivers de chipsets para Windows 11 25H2
- Microsoft atualiza certificados do Secure Boot para prevenir falhas de segurança futuras
Parlamento Europeu bloqueia recursos de IA
O caso ganha ainda mais relevância com a recente decisão do departamento de TI do Parlamento Europeu. Nesta semana, o órgão informou aos legisladores que bloqueou recursos nativos de inteligência artificial em dispositivos de trabalho.
A justificativa foi o temor de que essas ferramentas pudessem enviar correspondências confidenciais para a nuvem sem o devido controle.
A medida preventiva do Parlamento demonstra uma preocupação crescente entre governos e grandes corporações sobre a soberania dos dados ao utilizar serviços baseados em LLMs (Grandes Modelos de Linguagem).
Embora a tecnologia prometa aumento de produtividade, falhas como a admitida pela Microsoft mostram que a linha entre a conveniência e a privacidade ainda é tênue.
Fonte(s): Bleeping Computer e Microsoft
