Falha no Copilot da Microsoft ignora políticas de DLP e expõe dados sensíveis
Um bug no Microsoft 365 Copilot tem feito com que o assistente de IA resuma e-mails confidenciais, contornando as políticas de Prevenção de Perda de Dados (DLP) configuradas pelas organizações. O problema, identificado pela Microsoft, está ativo desde o final de janeiro de 2026.
Descoberta e escopo
A falha permite que o Copilot processe e resuma o conteúdo de e-mails que deveriam ser protegidos por políticas de DLP, criando um risco significativo de vazamento de informações sensíveis. As políticas de DLP são mecanismos críticos usados por empresas para classificar, monitorar e proteger dados confidenciais, como informações financeiras, de saúde ou propriedade intelectual.
O bypass dessas políticas pelo assistente de IA representa uma violação direta dos controles de segurança projetados para evitar a exposição não autorizada.
Impacto e alcance
Organizações que confiam no Microsoft 365 Copilot para produtividade e que possuem políticas de DLP rigorosas podem ter tido informações confidenciais processadas e potencialmente exibidas de forma não intencional. O impacto é amplo, afetando qualquer setor que utilize a ferramenta e lide com dados regulados, como saúde, serviços financeiros e governo.
Ainda não está claro se os resumos gerados foram acessados por usuários não autorizados ou se a falha resultou em vazamentos de dados confirmados. A Microsoft não divulgou detalhes técnicos específicos sobre a causa raiz do bug.
Implicações regulatórias (LGPD e similares)
Para empresas brasileiras e outras sob regulamentações como a LGPD (Lei Geral de Proteção de Dados), o GDPR ou a HIPAA, este incidente levanta sérias preocupações sobre a conformidade. O processamento não autorizado de dados pessoais ou sensíveis por uma ferramenta de IA pode configurar uma violação de segurança da informação, com potenciais implicações legais e multas.
A dependência de ferramentas de IA integradas a suites de produtividade introduz uma nova camada de complexidade para a governança de dados e a avaliação de riscos de terceiros.
Repercussão e resposta
A Microsoft reconheceu o problema, mas não forneceu um cronograma público para a correção no momento da publicação desta notícia. A empresa provavelmente está trabalhando em um patch ou configuração de mitigação.
Especialistas em segurança recomendam que as organizações revisem imediatamente os logs de atividade do Copilot, reavaliem as configurações de DLP e considerem desabilitar temporariamente a funcionalidade de resumo de e-mails no assistente até que uma correção oficial seja disponibilizada e testada. A monitoração próxima das comunicações da Microsoft sobre o assunto é essencial.
Este caso ilustra os riscos inerentes à integração de IA generativa em fluxos de trabalho críticos e a necessidade de auditorias de segurança contínuas e específicas para essas novas funcionalidades.