Bug în Microsoft Copilot: AI-ul a rezumat emailuri „confidențiale”, deși trebuia să le ignore
:format(webp)/https://playtech.ro/wp-content/uploads/2025/12/raport-microsoft-copilot.jpg)
Microsoft spune că un bug din Microsoft 365 Copilot a făcut ca asistentul AI să rezume emailuri confidențiale încă de la finalul lunii ianuarie, ocolind politicile de prevenire a pierderii datelor (DLP) pe care organizațiile se bazează pentru a proteja informații sensibile. Problema e cu atât mai delicată cu cât nu vorbim despre mesaje „obișnuite”, ci despre emailuri etichetate explicit cu marcaje de confidențialitate, tocmai ca să nu fie procesate automat de instrumente care nu au dreptul să le vadă.
Incidentul a fost semnalat printr-o alertă de serviciu, iar Microsoft a confirmat că afectează funcția de chat din fila „work tab” din Copilot. Concret, componenta respectivă ar fi citit și rezumat emailuri din folderele Sent Items și Drafts, inclusiv mesaje cu etichete de confidențialitate și cu DLP configurat. Compania a atribuit cauza unei erori de cod (fără să detalieze exact ce s-a întâmplat), a început distribuirea unui fix la început de februarie și spune că încă monitorizează implementarea, contactând un subset de utilizatori afectați pentru a valida că remedierea funcționează.
Dincolo de detaliile tehnice, cazul pune reflectorul pe o realitate incomodă: atunci când adaugi un strat AI peste o suită de productivitate folosită zilnic, orice scăpare de control al accesului nu mai e un bug „minor”, ci poate deveni o problemă de conformitate, de guvernanță a datelor și, în unele industrii, chiar de risc legal.
Ce s-a întâmplat, pe scurt, și de ce e ocolirea DLP atât de serioasă
Potrivit informațiilor comunicate, bugul (urmărit intern sub un identificator de incident) ar fi fost detectat pe 21 ianuarie și ar fi fost activ „de la finalul lunii ianuarie”. El ar fi afectat Copilot Chat din zona „work tab”, unde asistentul ar fi preluat și rezumat emailuri din Sent Items și Drafts. Asta contează fiindcă, în multe organizații, aceste foldere sunt pline de conținut sensibil: propuneri comerciale înainte să fie trimise, drafturi de contracte, discuții interne, răspunsuri parțiale care includ date personale sau informații despre clienți.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/03/1561646252/91e83c5dbdc9715a6bd1a6b29312b7f8-t.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/03/1561646252/56a51db14e1cfc3c96b9368aa148a16e-t.jpg)
Partea cea mai gravă din descriere este că emailurile aveau etichete de confidențialitate și existau politici DLP configurate, însă rezumarea tot s-ar fi produs. În mod normal, etichetele de sensibilitate și DLP sunt folosite tocmai pentru a limita accesul, pentru a bloca exfiltrarea de date și pentru a împiedica procese automate să manipuleze conținutul în mod neautorizat. Dacă un asistent AI trece peste aceste garduri, nu mai vorbim doar despre „funcționalitate care nu merge”, ci despre un mecanism de protecție care nu își face treaba când ar trebui.
Microsoft a încadrat situația ca „advisory”, un tip de etichetare asociată, de regulă, cu impact considerat limitat sau cu un incident care nu afectează universal toți clienții. Totuși, compania nu a comunicat câți utilizatori sau câte organizații ar fi fost afectate și nici un termen final pentru remediere completă, menționând că amploarea poate varia pe măsură ce investigația continuă. Din perspectiva unei companii, tocmai această incertitudine e frustrantă: dacă nu știi exact aria de impact, trebuie să tratezi incidentul ca pe unul potențial serios până când ai confirmări ferme din propriile loguri și controale.
Ce înseamnă pentru organizații și ce verifici imediat dacă folosești Copilot
În primul rând, merită să separi două idei care se amestecă ușor: faptul că un asistent poate „rezuma” nu înseamnă automat că a „trimis” datele în exterior. Totuși, chiar și doar procesarea internă a conținutului sensibil într-un context în care etichetele ar fi trebuit să o interzică poate încălca politici interne, cerințe de audit și angajamente contractuale. Iar dacă rezumatul ajunge vizibil într-un chat, apare și întrebarea secundară: cine are acces la acel chat, cum se păstrează istoricul, cât timp rămâne disponibil și ce mecanisme de retenție sau eDiscovery se aplică acolo.
:format(webp)/https://playtech.ro/wp-content/uploads/2025/03/microsoft-excel-316x158.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2025/09/instalare-obligatorie-copilot-pe-windows-calculator-pc-microsoft-316x158.jpg)
Dacă ești într-o organizație care folosește Microsoft 365 Copilot, primul reflex bun este să tratezi incidentul ca pe un exercițiu de guvernanță, nu ca pe o problemă „doar de IT”. Începe prin a identifica rapid dacă ai utilizatori cu Copilot Chat activ, în special pe zona „work tab”, și dacă există politici DLP care ar trebui să blocheze procesarea mesajelor cu etichete de confidențialitate. Apoi, uită-te la folderele vizate (Sent Items și Drafts) în contextul proceselor tale reale: cine lucrează cu contracte în draft, cine pregătește rapoarte financiare pe email, cine gestionează date personale sau medicale.
Practic, ce verifici imediat ține de trei lucruri:
- dacă au existat interacțiuni în Copilot Chat care au produs rezumate din emailuri etichetate „Confidential” (sau echivalentul intern),
- dacă rezumatele au fost vizibile doar pentru utilizatorul respectiv sau au ajuns și în contexte unde le pot vedea alții,
- dacă există dovezi clare în loguri că s-a întâmplat procesarea unor mesaje care ar fi trebuit excluse.
În paralel, dacă ai o politică internă strictă, poți lua măsuri de reducere a expunerii până când ești sigur că remedierea e completă. Nu înseamnă că trebuie să oprești tot AI-ul din companie, dar înseamnă că poți restrânge temporar funcționalitatea care a fost raportată ca problematică, acolo unde ai această opțiune, și să comunici intern riscul într-un mod calm, clar și acționabil. Important e să nu tratezi comunicarea ca pe o sperietoare: spune ce se știe, ce nu se știe, ce verifici și ce comportament de lucru vrei să urmeze oamenii până la confirmare.
Pe partea de igienă operațională, dacă lucrezi cu informații sensibile pe email, ai două obiceiuri care te ajută indiferent de vendor: nu lăsa în Drafts mai mult decât e necesar și nu folosi emailul ca depozit de documente care ar trebui să stea în sisteme cu control mai strict (de exemplu, în zone dedicate de management de documente). Dacă știi că un flux intern creează drafturi cu date sensibile și le ține acolo zile întregi, tocmai ai găsit un punct slab care merită reparat independent de acest incident.
În final, povestea bugului din Copilot e un reminder util: politicile precum DLP și etichetele de sensibilitate sunt doar la fel de bune ca implementarea lor în toate componentele care ating datele. Când intră AI-ul în ecuație, suprafața de atac crește, iar validarea „end-to-end” devine obligatorie. Dacă folosești Copilot, tratează momentul ca pe o ocazie să-ți întărești controalele, să-ți verifici fluxurile de lucru și să-ți educi echipa despre ce înseamnă, concret, confidențialitatea într-un ecosistem în care rezumarea automată a devenit o funcție la un click distanță.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/03/1667480684/2ceead8155fb1d3c7f2609935a9139d6-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/03/1737978465/ef28690e81be4d4f01ad24551ca0709e-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/03/1737972417/cb10c2818666d2f4691f7bcb586363b6-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/02/1646818613/049ca3c7e6dfa2c52e6a7867aaf73eee-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/03/1683783849/d6e694df262e3b7c2a8740f21e367bf3-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2025/07/1610191967/3814bc318aefc3c58c0fab3e7ffe4e91-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/02/Poti-opri-complet-caldura-intr-un-apartament-la-bloc.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/03/concedieri-companie-it-inteligenta-artifiiciala.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/03/Cum-a-construit-Finlanda-unul-dintre-cele-mai-solide-sisteme-de-aparare-din-Europa.-De-ce-strategia-sa-este-studiata-acum.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/03/1561646252/91e83c5dbdc9715a6bd1a6b29312b7f8-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/03/1561646252/56a51db14e1cfc3c96b9368aa148a16e-o.jpg)