微软的 AI 在一个月内读取了高管的机密邮件。微软的安全工具本应阻止此事。

Source: Dev.to

概览

一个编号为 CW1226324 的漏洞使 Microsoft 365 Copilot 绕过数据泄露防护（DLP）策略，能够在用户的 Sent Items（已发送邮件）和 Drafts（草稿）文件夹中汇总标记为 “Confidential” 的电子邮件。该缺陷至少自 2026 年 1 月 21 日 起即已存在。Microsoft 于二月中旬公开披露此事，并在泄露开始约一个月后开始推送修补程序。

漏洞细节

• 涉及的产品

  1. Microsoft Information Protection – 为文档和电子邮件应用诸如 “Confidential”、 “Highly Confidential”、 “Internal Only” 等敏感度标签。
  2. Copilot – 嵌入在 Microsoft 365 中的 AI 助手，能够读取、汇总并对企业数据执行操作。

• 问题所在

  • DLP 强制执行层未能阻止 Copilot 访问位于 Sent Items 和 Drafts 中的已标记敏感度的电子邮件。
  • Copilot 能读取、汇总并在生成的回复中展示这些邮件的内容，尽管标签表明这些邮件不应被访问。
  • 敏感度标签本身是存在的；只是 Copilot 在受影响的文件夹位置没有检查这些标签。

影响

• Microsoft 未披露受影响的组织或用户数量，也未说明是否有机密数据实际被展示给未授权用户。
• 风险在于授权使用 Copilot 的用户可能收到他们无权查看的机密内容片段，等同于让 AI 成为 无意的内部人员。
• 虽然没有传统意义上的数据外泄，但这种静默绕过持续了约一个月。

企业 AI 安全背景

• 该事件是 第三起 企业 AI 工具绕过自身访问控制框架的重大案例。
• Palo Alto Networks 的 Unit 42 2026 全球事件响应报告（基于 750+ 实际事件）指出：
  • 99 % 的云身份拥有过度权限。
  • 平均从泄露到外泄的时间压缩至 72 分钟（之前为 285 分钟）。
  • 身份弱点导致近 90 % 的调查事件。
• 虽然 62 % 的组织在过去一年中遭遇了深度伪造相关的网络攻击，但 Copilot 漏洞代表了另一种威胁：一个 内部工具 拥有比其协助的人类更高的权限。

立即修复

• Microsoft 已发布补丁，恢复对受影响文件夹中 Copilot 的 DLP 检查。
• 该补丁正在推送中，公司正在监控其完整性。

建议

短期措施

1. 审计 Copilot 当前能够访问的敏感度标记内容。
2. 使用 Microsoft Purview 合规工具识别任何缺口，同时认识到 DLP 层本身是故障点。

长期结构性变更

• 将从基于搜索的宽泛读取、策略过滤权限模型，转变为 仅在明确用户请求时访问内容，并执行 实时策略检查 的模型。
• 虽然在架构上成本更高，但此方式可防止静默的 DLP 绕过，使 AI 助手不致成为内部威胁。

前景展望

Microsoft 的补丁解决了具体的漏洞，但导致一个月静默绕过的底层架构仍在许多企业客户中使用。组织应评估是否愿意在此模型上部署 AI 助手，并考虑采用更严格、基于请求的访问控制，以降低未来风险。