微軟承認Copilot存漏洞誤讀機密郵件

微軟確認 Microsoft 365 Copilot 存在機密郵件處理漏洞

微軟近日正式確認，Microsoft 365 Copilot 存在一項嚴重安全漏洞：自1月下旬起，該AI助手在未經授權的情況下，持續讀取並摘要用戶標記為「機密」的電子郵件內容，導致企業部署的資料防洩漏（DLP）策略形同虛設。

漏洞細節與影響範圍

根據 BleepingComputer 報導，此漏洞於1月21日首次被發現，主要影響 Copilot「工作」標籤頁中的聊天功能。關鍵問題在於：即使郵件已套用敏感度標籤（如「機密」或「高度機密」），且企業已設定嚴格的 DLP 政策禁止自動化工具存取，Copilot 仍錯誤地處理「已寄出郵件」與「草稿」資料夾內的內容——包含明確限制 AI 或自動系統存取之高敏感資訊。

根本原因與微軟回應

微軟指出，此問題源於一段程式碼錯誤，致使 Copilot 忽略機密標籤的權限設定，進而抓取並分析受保護的郵件項目。值得注意的是，微軟強調：此漏洞「並未擴大原始存取權限」——換言之，未授予任何原本無權查看者額外權限；問題核心在於 Copilot 的行為偏離設計初衷，未能依預期「排除所有受保護內容」。

修復進度與後續措施

微軟已於2月初啟動全球配置更新，針對企業客戶逐步部署修正設定。目前更新正持續推送中，官方亦表示將密切監測修復成效，確保 Copilot 後續運作完全符合企業資安合規要求。