Четири недеље почевши од 21. јануара, Мицрософтов Цопилот је читао и сажимао поверљиве е-поруке упркос свим ознакама осетљивости и ДЛП смерницама које су му говориле да то не чини. Тачке спровођења су пробиле унутар Мицрософтовог сопственог цевовода и ниједан безбедносни алат у групи то није означио. Међу погођеним организацијама била је и Национална здравствена служба Велике Британије, који га је евидентирао као ИНЦ46740412 — сигнал колико је неуспех доспео у регулисана здравствена окружења. Мицрософт га је пратио као ЦВ1226324.
саветодавно, први је објавио БлеепингЦомпутер 18. фебруара, то је други пут у осам месеци да је Цопилот-ов цевовод за проналажење прекршио сопствену границу поверења — неуспех у коме АИ систем приступа или преноси податке којима је експлицитно забрањено додиривање. Први је био гори.
У јуну 2025, Мицрософт је закрпио ЦВЕ-2025-32711критична рањивост без клика коју су истраживачи компаније Аим Сецурити назвали „ЕцхоЛеак“. Једна злонамерна е-пошта је заобишла Цопилот-ов класификатор брзе ињекције, његову редакцију линкова, његову политику безбедности-садржаја и његове референце за тихо ексфилтрирање података предузећа. Нису били потребни никакви кликови и никаква радња корисника. Мицрософт му је доделио а ЦВСС оцена 9,3.
Два различита узрока; једна слепа тачка: грешка кода и софистицирани ланац експлоатације дали су идентичан исход. Копилот је обрадио податке које је експлицитно забрањено додиривати, а безбедносни стек није видео ништа.
Зашто су ЕДР и ВАФ и даље архитектонски слепи за ово
Откривање и одговор крајње тачке (ЕДР) надгледа понашање датотека и процеса. Заштитни зидови веб апликација (ВАФ) прегледају ХТТП корисна оптерећења. Ниједна од њих нема категорију откривања за „ваш АИ помоћник је управо прекршио сопствену границу поверења“. Тај јаз постоји зато што цјевоводи за проналажење ЛЛМ-а налазе се иза принудног слоја који традиционални сигурносни алати никада нису дизајнирани да посматрају.
Цопилот је прогутао означену е-пошту за коју је речено да прескочи, а цела радња се догодила унутар Мајкрософтове инфраструктуре. Између индекса преузимања и модела генерације. Ништа није пало на диск, ниједан аномални саобраћај није прешао периметар и није покренут процес који би агент крајње тачке означио. Сигурносни скуп је известио да је све јасно јер никада није видео слој на коме је дошло до кршења.
Грешка ЦВ1226324 је функционисала јер је грешка у путањи кода омогућила порукама у послатим ставкама и нацртима да уђу у скуп за преузимање Цопилот упркос ознакама осетљивости и ДЛП правилима која су их требала блокирати, према Мицрософтовом савету. ЕцхоЛеак је функционисао јер су истраживачи компаније Аим Сецурити доказали да злонамерна е-пошта, формулисана као обична пословна преписка, може да манипулише Цопилотовим цевоводом генерисања проширеног преузимања у приступ и пренос интерних података на сервер који контролише нападач.
Истраживачи компаније Аим Сецурити окарактерисали су га као а фундаментална грешка у дизајну: агенти обрађују поуздане и непоуздане податке у истом мисаоном процесу, чинећи их структурно рањивим на манипулацију. Та грешка у дизајну није нестала када је Мицрософт закрпио ЕцхоЛеак. ЦВ1226324 доказује да слој за спровођење око њега може да пропадне независно.
Ревизија у пет тачака која се пресликава на оба начина квара
Ниједан квар није покренуо ни једно упозорење. Оба су откривена путем саветодавних канала добављача — не преко СИЕМ-а, не преко ЕДР-а, не преко ВАФ-а.
ЦВ1226324 је изашао у јавност 18. фебруара. Погођени станари су били изложени од 21. јануара. Мицрософт није открио колико је организација погођено нити којим подацима је приступано током тог периода. За лидере у области безбедности, тај јаз је прича: четворонедељна изложеност унутар цевовода за закључке добављача, невидљива за сваку алатку у групи, откривена само зато што је Мицрософт одлучио да објави савет.
1. Тестирајте примену ДЛП-а директно на Цопилоту. ЦВ1226324 је постојао четири недеље јер нико није тестирао да ли Цопилот заиста поштује ознаке осетљивости на послатим ставкама и нацртима. Креирајте означене тест поруке у контролисаним фасциклама, поставите упит Цопилот-у и потврдите да их не може приказати. Покрените овај тест месечно. Конфигурација није примена; једини доказ је неуспели покушај извлачења.
2. Блокирајте спољни садржај да допре до прозора контекста Цопилот-а. ЕцхоЛеак је успео јер је злонамерна е-пошта ушла у скуп за преузимање Цопилот-а и његове убачене инструкције су извршене као да су упит корисника. Напад је заобишао четири различита одбрамбена слоја: Мицрософт-ов класификатор унакрсних брзих ињекција, редиговање екстерне везе, контроле Цонтент-Сецурити-Полици и заштитне мере за спомињање референци, према откривању Аим Сецурити-а. Онемогућите спољни контекст е-поште у подешавањима Цопилот-а и ограничите Маркдовн рендеровање у АИ излазима. Ово хвата класу неуспеха брзе ињекције тако што у потпуности уклања површину напада.
3. Евиденција овлашћења ревизије за аномалне интеракције копилота током периода изложености од јануара до фебруара. Потражите упите Цопилот Цхат-а који су вратили садржај из означених порука између 21. јануара и средине фебруара 2026. Ниједна класа отказа није произвела упозорења кроз постојећи ЕДР или ВАФ, тако да ретроспективно откривање зависи од Пурвиев телеметрије. Ако ваш закупац не може да реконструише чему је Цопилот приступио током периода изложености, формално документујте тај јаз. Важно је за усаглашеност. За сваку организацију која подлеже регулаторном прегледу, недокументовани јаз у приступу АИ подацима током познатог прозора рањивости представља налаз ревизије који чека да се деси.
4. Укључите ограничено откривање садржаја за СхареПоинт локације са осетљивим подацима. РЦД у потпуности уклања локације из Цопилотовог цевовода за проналажење. Функционише без обзира на то да ли кршење поверења долази од грешке у коду или убризганог промпта, јер подаци никада не улазе у прозор контекста. Ово је заштитни слој који не зависи од тачке принуде која је прекинута. За организације које рукују осетљивим или регулисаним подацимаРЦД није опционо.
5. Направите приручник за реаговање на инциденте за грешке у закључивању које хостује произвођач. Приручницима за реаговање на инциденте (ИР) потребна је нова категорија: кршења граница поверења унутар цевовода за закључивање добављача. Дефинишите путање ескалације. Додели власништво. Успоставите ритам праћења здравствених савета добављача који утичу на обраду вештачке интелигенције. Ваш СИЕМ такође неће ухватити следећи.
Образац који се преноси изван Цопилота
А Истраживање Циберсецурити Инсидерс из 2026 открили су да је 47% ЦИСО-а и виших руководилаца безбедности већ приметило да агенти вештачке интелигенције показују ненамерно или неовлашћено понашање. Организације постављају помоћнике вештачке интелигенције у производњу брже него што могу да изграде управљање око њих.
Та путања је важна јер овај оквир није специфичан за копилота. Сваки помоћник заснован на РАГ-у који извлачи из података предузећа пролази кроз исти образац: слој за проналажење бира садржај, слој за спровођење омогућава оно што модел може да види, а слој генерисања производи излаз. Ако слој за спровођење не успе, слој за преузимање шаље ограничене податке моделу, а безбедносни стек их никада не види. Цопилот, Гемини фор Воркспаце и било који алат са приступом интерним документима носи исти структурални ризик.
Покрените ревизију у пет тачака пре следећег састанка одбора. Почните са означеним тест порукама у контролисаној фасцикли. Ако их копилот открије, свака политика испод је позориште.
Одговор одбора: „Наше смернице су исправно конфигурисане. Спровођење није успело у цевоводу закључивања добављача. Ево пет контрола које тестирамо, ограничавамо и захтевамо пре него што поново омогућимо пун приступ за осетљива радна оптерећења.“
Следећи квар неће послати упозорење.
