W styczniu 2026 organizacje korzystające z Microsoft 365 odkryły, że Copilot Chat streszczał e-maile oznaczone jako poufne — nawet gdy polityki zapobiegania utracie danych (DLP) były jawnie skonfigurowane, aby temu zapobiec. Błąd został zgłoszony przez klientów 21 stycznia. Microsoft potwierdził go na początku lutego w komunikacie śledzonym jako CW1226324.

Co się stało

Microsoft 365 używa etykiet poufności (np. „Poufne", „Ściśle poufne") i polityk DLP za pośrednictwem Microsoft Purview do kontrolowania przepływu danych w organizacji. Oczekiwanie: jeśli wiadomość e-mail jest oznaczona jako poufna, narzędzia AI nie powinny jej przetwarzać.

Rzeczywistość: defekt kodu powodował, że Copilot Chat pobierał elementy z folderów Wysłane i Wersje robocze niezależnie od ich etykiet poufności. AI streszczał poufne e-maile na żądanie, serwując treść przez zakładkę „Praca" w Copilot Chat.

Własna dokumentacja Microsoftu stwierdza już, że etykiety poufności nie działają spójnie we wszystkich powierzchniach Copilota — zastrzeżenie, którego wielu administratorów mogło nie zauważyć.

Wymiar suwerenności

Ten incydent nie dotyczy pojedynczego błędu. Ilustruje problem strukturalny: organizacje, które zlecają krytyczną komunikację platformie AI w chmurze, nie mogą niezależnie zweryfikować, do czego ta AI ma dostęp. Polityki DLP to obietnica umowna i techniczna — ale gdy AI jest zamkniętoźródłowa, działa na cudzej infrastrukturze i jest aktualizowana według uznania dostawcy, organizacja nie ma możliwości audytu zgodności w czasie rzeczywistym.

Dla europejskich organizacji działających już w warunkach ryzyka jurysdykcyjnego CLOUD Act, to dodaje drugą warstwę obaw: nie tylko kto może legalnie uzyskać dostęp do danych, ale które funkcje AI po cichu je przetwarzają.

Microsoft od tego czasu wdrożył aktualizację konfiguracji. Ale incydent trwał tygodniami zanim został potwierdzony — tygodniami, w których poufne treści były przetwarzane przez model AI bez autoryzacji.

Co mogą zrobić organizacje

  • Audytuj faktyczne zachowanie Copilota, a nie tylko konfigurację polityk. Te dwie rzeczy niekoniecznie się pokrywają.
  • Testuj polityki DLP konkretnie wobec powierzchni AI — etykiety poufności działające w Outlooku mogą nie mieć zastosowania w Copilot Chat, Teams czy innych połączonych doświadczeniach.
  • Oceń, czy funkcje AI powinny być w ogóle włączone dla kategorii wrażliwej komunikacji. Domyślnie w Microsoft 365 włączenie jest na poziomie wdrożenia, a nie na poziomie użytkownika.
  • Rozważ asymetrię kontroli. W samodzielnie hostowanym stosie open source błąd taki jak ten można znaleźć, czytając kod źródłowy. Na zastrzeżonej platformie SaaS dowiadujesz się o nim, gdy dostawca zdecyduje się ci powiedzieć.

Co dalej

Ten incydent jest przypomnieniem: gdy powierzasz dane komunikacyjne zamkniętoźródłowej AI, ufasz, że ta AI respektuje twoje polityki — ale nie możesz tego zweryfikować. Błąd istniał tygodniami, zanim ktokolwiek go zauważył. Poufne dane były przetwarzane bez autoryzacji, a jedynym powodem, dla którego o tym wiemy, jest decyzja Microsoftu o ujawnieniu.

Organizacje mają trzy realistyczne odpowiedzi:

W tym tygodniu (minimalny wysiłek):

  • Wyłącz Copilota dla użytkowników obsługujących wrażliwe dane. Nie wszystkie licencje Microsoft 365 zawierają Copilota — sprawdź, kto ma dostęp, i cofnij go dla ról obsługujących poufne informacje.
  • Włącz DLP Purview dla Copilota wprost. Nie polegaj na domyślnej konfiguracji. Przetestuj ją.
  • Załóż, że każdy e-mail przetworzony przez Copilota może być dostępny dla Microsoftu. Jeśli to nie do zaakceptowania, nie używaj Copilota do wrażliwej komunikacji.

W tym miesiącu (projekt infrastrukturalny):

  • Wdróż samodzielnie hostowaną AI do podsumowań. Lokalny LLM na wewnętrznej infrastrukturze — używający modeli open-weight takich jak Mistral 7B lub LLaMA 3.1 8B — działa na twoich serwerach, pod twoją kontrolą. AI przetwarza twoje dane, nie Microsoftu. Narzędzia takie jak vLLM i Ollama ułatwiają wdrożenie na pojedynczym serwerze GPU.

W tym kwartale (decyzja strategiczna):

  • Rozważ ponownie pakiet Microsoft 365. Copilot jest sprzedawany jako część Microsoft 365, ale kompromis bezpieczeństwa jest jawny: dodajesz warstwę AI, która przetwarza wszystko w twoim tenancie. Dla organizacji z rzeczywistymi wymaganiami suwerenności danych alternatywą nie jest „brak AI" — to AI na twojej infrastrukturze, z modelami open-weight, pod twoją jurysdykcją.

Incydent z Copilotem zostanie zapomniany w przyszłym miesiącu. Następna niespodzianka AI nie zostanie. Organizacje, które przygotują się teraz, nie będą musiały później tłumaczyć naruszenia danych.

Źródła