微软称漏洞导致 Copilot 摘要机密电子邮件

Source: Bleeping Computer

概览

Microsoft 已确认 Microsoft 365 Copilot 中存在一个漏洞，导致 AI 助手对存放在用户 已发送邮件 和 草稿 文件夹中的机密电子邮件进行摘要。该问题绕过了用于限制对敏感信息的自动访问的数据丢失防护（DLP）策略和敏感度标签。

漏洞细节

• 服务警报：该问题首次于 1 月 21 日 被检测到，已在 CW1226324 下进行跟踪。
• 受影响功能：该漏洞影响 Copilot “工作标签页”聊天，错误地读取并摘要已应用机密标签的电子邮件。
• 影响范围：即使已在已发送邮件和草稿中设置了敏感度标签和 DLP 策略，这些邮件仍被 Copilot Chat 处理。

“带有机密标签的用户电子邮件被 Microsoft 365 Copilot 聊天错误地处理，”Microsoft 在确认此问题时表示。

“Microsoft 365 Copilot ‘工作标签页’聊天正在对电子邮件进行摘要，即使这些电子邮件已应用敏感度标签并配置了 DLP 策略。”

Copilot Chat 背景

Microsoft 365 Copilot Chat 是一项 AI 驱动、内容感知的聊天功能，允许用户在 Office 应用中与 AI 代理交互。该功能于 2025 年 9 月 在 Word、Excel、PowerPoint、Outlook 和 OneNote 中向付费的 Microsoft 365 商业客户推出。

影响与 Microsoft 的响应

• 根本原因：未指明的代码错误导致已发送邮件和草稿文件夹中的项目即使带有机密标签仍被 Copilot 捕获。
• 修复部署：Microsoft 于二月初开始部署修复，并持续监控其推广情况。根据最新更新，已联系部分受影响用户以验证修复效果。

“代码问题导致已发送邮件和草稿文件夹中的项目被 Copilot 捕获，即使已设置机密标签，”Microsoft 补充道。

• 修复时间表：尚未提供完整修复的最终时间表，Microsoft 也未披露受影响用户或组织的数量。
• 事件状态：该事件目前标记为 advisory（建议），表明是范围有限的服务问题。

参考

• 服务警报：CW1226324
• Copilot Chat 推出公告：BleepingComputer article