Fortrolige E-mails afleveret til Microsoft 365 Copilot

Det er en alvorlig tillidsudfordring, når et system, der skal beskytte fortrolige oplysninger, selv omgår de mekanismer, der er sat op til netop det formål. Microsoft har nu bekræftet, at en fejl i Microsoft 365 Copilot har medført, at fortrolige e mails er blevet opsummeret af AI assistenten. Fejlen har været aktiv siden slutningen af januar og har påvirket virksomheders databeskyttelse. Sagen rejser principielle spørgsmål om teknisk kontrol, compliance og ansvar i brugen af AI i erhvervslivet.

Microsoft har oplyst, at en programfejl i Microsoft 365 Copilot har medført, at AI assistenten har opsummeret e mails markeret som fortrolige. Det skriver bl.a. Microsoft og Infoworld,

Ifølge en serviceadvarsel, ser fejlen registreret under sagsnummer CW1226324 og blev første gang identificeret den 21. januar. Fejlen vedrører Copilot funktionen kaldet work tab chat, som fejlagtigt har læst og opsummeret e mails i brugernes mapper Sendte elementer og Kladder. Dette gælder også meddelelser, der var påført fortroligheds eller følsomhedsmærkater, som udtrykkeligt har til formål at begrænse automatiseret adgang.

Microsoft har i den forbindelse udtalt følgende:

“Users’ email messages with a confidential label applied are being incorrectly processed by Microsoft 365 Copilot chat.”

Endvidere har virksomheden anført:

“The Microsoft 365 Copilot ‘work tab’ Chat is summarizing email messages even though these email messages have a sensitivity label applied and a DLP policy is configured.”

Data Loss Prevention politikker anvendes bredt i organisationer til at forhindre, at følsomme oplysninger utilsigtet deles eller behandles i strid med interne og lovbestemte krav. I denne sag har Copilot trods konfigurerede DLP politikker behandlet e mails, som var markeret med følsomhedsmærkater.

Microsoft har oplyst, at årsagen var en kodefejl, som gjorde det muligt for Copilot at opfange elementer i mapperne Sendte elementer og Kladder, selv om fortrolighedsmærkater var aktiveret. Virksomheden har formuleret det således:

“A code issue is allowing items in the sent items and draft folders to be picked up by Copilot even though confidential labels are set in place.”

Ifølge Microsoft blev en rettelse påbegyndt implementeret i starten af februar. Onsdag oplyste virksomheden, at udrulningen fortsat overvåges, og at man kontakter en delmængde af de berørte brugere for at sikre, at rettelsen fungerer efter hensigten.

Microsoft har ikke oplyst, hvor mange brugere eller organisationer der konkret har været berørt. Virksomheden har anført, at omfanget fortsat kan ændre sig i takt med den igangværende undersøgelse.

Hændelsen er klassificeret som en advisory, hvilket normalt anvendes om serviceproblemer med begrænset rækkevidde eller påvirkning. Der foreligger dog ikke detaljerede oplysninger om den præcise påvirkning i de enkelte miljøer.

Efter offentliggørelsen af sagen fremsendte Microsoft en supplerende erklæring. En talsperson udtalte til BleepingComputer:

“We identified and addressed an issue where Microsoft 365 Copilot Chat could return content from emails labeled confidential authored by a user and stored within their Draft and Sent Items in Outlook desktop. This did not provide anyone access to information they weren’t already authorized to see.”

Microsoft understregede samtidig:

“While our access controls and data protection policies remained intact, this behavior did not meet our intended Copilot experience, which is designed to exclude protected content from Copilot access. A configuration update has been deployed worldwide for enterprise customers.”

Den 20. februar oplyste Microsoft, at den bagvedliggende årsag nu er håndteret. I en opdateret serviceadvarsel fremgår det:

“Our targeted code fix to prevent further impact is moving forward and has saturated across the majority of affected environments. Our deployment remains in progress only for a small section of our more complex service environments. As such, we believe the root cause of this issue has been addressed for most customers, and no new email messages for customers who have received the fix will be affected moving forward.”

Ifølge virksomheden er rettelsen således implementeret i størstedelen af de berørte miljøer, mens en mindre del af mere komplekse serviceopsætninger fortsat er under udrulning. Microsoft vurderer, at den grundlæggende årsag er afhjulpet for hovedparten af kunderne, og at nye e mails ikke vil blive påvirket hos de kunder, der har modtaget rettelsen.

Kilde: ICARE.DK
Fotokredit: Microsoft
Personer/Firmaer/Emner/#: #Microsoft, #Microsoft365, #Copilot, #Databeskyttelse, #DLP, #Informationssikkerhed, #Outlook
Copyrights: Ⓒ 2026 Copyright by icare.dk – kan deles ved aktivt link til denne artikel.

Microsoft har i den forbindelse udtalt følgende:

Microsoft understregede samtidig:

Nye angreb bruger Windows-Security til at omgå nul-dag sikkerhedshul for at installere malware

Akamai frigiver udnyttelse til Microsoft-fejl, der tillader angriber at maskere sig som legitim enhed

Microsoft indfører ny platform med central styring af alle Apps

Knappen “MUTE” i konference apps slår ikke mikrofonen fra

Microsoft: Windows Server 2012 ophører med support i oktober

Ny Microsoft Office Zero-Day bruges i angreb til at udføre PowerShell

Microsoft har i den forbindelse udtalt følgende:

Microsoft understregede samtidig:

Cybersikkerhed & Nyheder