Microsoft 365 Copilot heeft door een bug wekenlang vertrouwelijke e-mails in kunnen zien en samenvatten. Die werd eind januari ontdekt, maar pas in februari gepatched. Door de bug werd het Data Loss Prevention-beleid omzeild.
DLP beveiligt gevoelige informatie op alle systemen en waarborgt naleving van privacywetgeving door ongeoorloofd delen te voorkomen. In combinatie met informatiebeveiliging en governance moet dit zorgen voor volledige grip op de veiligheid en opslag van bedrijfsdata. De bug trof de Copilot ‘work tab’ chat-functie. Die leest en vat e-mails samen uit de mappen ‘verzonden items’ en ‘concepten’, ondanks dat deze berichten een label van vertrouwelijkheid bevatten. Die labels zijn specifiek ontworpen om toegang door geautomatiseerde tools te beperken.
Volgens een servicewaarschuwing die Microsoft verstuurde, bevestigt het bedrijf het probleem. Microsoft rolde in begin februari een fix uit. Het bedrijf monitort sindsdien de implementatie en neemt contact op met getroffen gebruikers om te verifiëren of de oplossing werkt. De softwaregigant liet ook weten nog niet te weten wanneer het probleem definitief is opgelost.
Codeerror in serverlogica
De oorzaak ligt bij een niet nader gespecificeerde codefout. “Een code-issue zorgt ervoor dat items in de mappen verzonden items en concepten worden opgepikt door Copilot, ook al zijn er vertrouwelijkheid labels ingesteld,” aldus Microsoft.
De fout betreft de serverlogica die bepaalt welke e-mails Copilot mag verwerken. In plaats van berichten met confidentialiteitslabels uit te sluiten, heeft het systeem deze juist ingesloten bij het genereren van samenvattingen. Microsoft heeft niet bekendgemaakt hoeveel gebruikers of organisaties er precies zijn getroffen. Het incident staat geregistreerd als ‘advisory’, een aanduiding die Microsoft gebruikt voor serviceproblemen met beperkte impact.
Bredere zorgen rondom AI-tools
Zulke incidenten wakkeren het onderwerp weer aan of AI wel veilig is en of je het wel moet willen integreren op de werkvloer. Er zijn legio voorbeelden te bedenken, waarin kunstmatige intelligentie alleen maar voordeel oplevert, maar het zeker niet niet altijd goed. Niet voor niets zou het Europees Parlement AI-tools blokkeren op apparaten van parlementariërs. Veel werknemers zijn bang om hun baan te verliezen aan AI, regels omtrent het gebruik van AI op de werkvloer worden niet overal goed nageleefd en veel medewerkers voelen zich ongemakkelijk bij het gebruik van artificiële intelligentie bij hun werk.
Eerder op ICT Magazine: Onderzoek AI op de werkvloer