微软披露Microsoft 365 Copilot存在漏洞,导致AI助手未经授权对部分机密邮件生成摘要,绕过企业数据丢失防护政策。漏洞源于代码缺陷,微软已启动修复,但尚未完全解决。
2 月 18 日消息,微软披露,自 1 月下旬起,Microsoft 365 Copilot 存在一项漏洞,导致 AI 助手在未经授权的情况下对部分机密邮件生成摘要,从而绕过企业依赖的数据丢失防护政策。
根据外媒 BleepingComputer 今天的报道,该漏洞编号为 CW1226324,首次发现时间为 1 月 21 日。问题出在 Copilot“工作”标签页的聊天功能。该功能会错误读取并总结用户“已发送邮件”和“草稿”文件夹中的内容,其中包括已加注机密标签、原本应限制自动化工具访问的邮件。
Microsoft 365 Copilot Chat 是微软推出的内容感知型 AI 聊天工具,支持用户与 AI 智能体进行交互。微软在 2025 年 9 月开始向付费 Microsoft 365 企业客户推送该功能,覆盖 Word、Excel、PowerPoint、Outlook 和 OneNote。
微软确认问题时表示,“带有机密标签的电子邮件被 Microsoft 365 Copilot 聊天错误处理。即使电子邮件已经设置敏感度标签并启用 DLP 策略,Microsoft 365 Copilot 的‘工作’标签页聊天仍然会对这些邮件生成摘要。”
IT之家从报道中获悉,问题源于一处代码缺陷,并已于 2 月初启动修复推送。截至周三,微软表示仍在持续监控修复进展,并主动联系部分受影响用户验证修复效果。“代码问题使 Copilot 读取了已发送邮件和草稿文件夹中的项目,即便邮件已设置机密标签。”
微软尚未公布完全修复的时间节点,也未披露具体受影响的用户或组织数量,仅表示随着调查深入,影响范围可能发生变化。
目前,该事件被标记为“advisory”,该分类通常用于说明影响范围相对有限的服务问题。