A inteligência artificial tem-se tornado uma ferramenta indispensável para a produtividade nas empresas, mas por vezes a tecnologia pode ser demasiado "curiosa" para o seu próprio bem. Recentemente, foi descoberto um erro no assistente de IA da gigante tecnológica que está a causar preocupação entre os administradores de sistemas, ao permitir o acesso a conteúdos que deveriam estar protegidos.
A Microsoft confirmou a existência de uma falha no seu assistente de IA que permite a leitura e o resumo de emails confidenciais, ignorando as políticas de prevenção de perda de dados (DLP) definidas pelas organizações.
Falha ignora etiquetas de confidencialidade
O problema, que foi detetado inicialmente a 21 de janeiro, afeta a funcionalidade de chat do separador "work" (trabalho). Devido a um erro de código, o assistente consegue processar indevidamente mensagens de correio eletrónico armazenadas nas pastas "Itens Enviados" e "Rascunhos" dos utilizadores.
O aspeto mais crítico desta situação é que o Copilot resume o conteúdo destes emails mesmo quando estes possuem etiquetas de confidencialidade ativas, que foram explicitamente desenhadas para impedir o acesso por ferramentas automatizadas. Numa situação normal, as políticas de DLP deveriam bloquear esta ação para proteger informação sensível da empresa, mas o erro atual permite que o sistema contorne essas barreiras de segurança.
Correção e impacto nos utilizadores
A empresa tecnológica reconheceu que se trata de um problema de código que permite que estes itens sejam captados pelo sistema, apesar das restrições implementadas. A funcionalidade de chat do Microsoft 365 Copilot, que começou a chegar aos clientes empresariais em setembro de 2025, utiliza o contexto dos dados do utilizador para fornecer respostas, o que torna esta falha de privacidade particularmente relevante.
A correção para este problema começou a ser distribuída no início de fevereiro e a equipa de desenvolvimento continua a monitorizar a situação para garantir a eficácia da solução. Embora não tenha sido revelado o número exato de organizações afetadas, o incidente foi classificado como um aviso ("advisory"), o que geralmente indica um impacto de âmbito limitado, conforme detalhado no centro de administração da Microsoft.
Nenhum comentário
Seja o primeiro!