Uma falha de segurança no Microsoft 365 Copilot está fazendo com que o assistente de IA resuma indevidamente mensagens de e-mail protegidas por rótulos de confidencialidade, ignorando políticas de Prevenção de Perda de Dados (DLP) configuradas. O problema, identificado pela Microsoft sob a referência CW1226324, foi reportado inicialmente em 4 de fevereiro de 2026 e permanece em investigação.
O que mudou agora
A investigação da Microsoft identificou um defeito no nível de código como causa raiz. A falha permite que o Copilot acesse inadvertidamente itens armazenados nas pastas "Itens Enviados" e "Rascunhos" dos usuários, contornando os rótulos de confidencialidade aplicados a essas mensagens. Em operação normal, os rótulos de sensibilidade combinados com políticas de DLP deveriam impedir que o Copilot processasse qualquer e-mail marcado como confidencial. No entanto, o bug torna esses controles ineficazes para as pastas afetadas, permitindo que a IA apresente conteúdo restrito em resumos no chat da "Guia de Trabalho".
Impacto e alcance
O escopo do impacto é amplo: qualquer organização com o Microsoft 365 Copilot habilitado e rótulos de confidencialidade configurados em e-mail pode ser afetada. Isso é particularmente preocupante para setores regulados como saúde, finanças e governo, onde os controles de confidencialidade de e-mail são requisitos de conformidade, não apenas boas práticas. O Serviço Nacional de Saúde do Reino Unido (NHS) sinalizou o incidente internamente como INC46740412, indicando um impacto real para usuários do setor público.
Repercussão e resposta
A Microsoft iniciou a implantação de uma correção em ambientes afetados a partir de 11 de fevereiro e está entrando em contato com um subconjunto de usuários impactados para validar a remediação. No entanto, a distribuição ainda não atingiu saturação total, e o problema permanece não resolvido para algumas organizações. A empresa pretende fornecer uma linha do tempo de remediação conforme o avanço da correção. Até que a correção seja totalmente implantada, as equipes de segurança devem considerar restringir temporariamente o acesso ao Copilot em ambientes que lidam com comunicações por e-mail altamente sensíveis.
Implicações para a governança de dados
A violação de políticas de DLP por um assistente de IA representa uma lacuna de segurança significativa. Os controles de DLP são uma pedra angular da governança de dados corporativa, e uma ferramenta de IA que os contorna, mesmo que não intencionalmente, mina a integridade da postura de proteção de informações de uma organização. Administradores são aconselhados a monitorar o centro de administração do Microsoft 365 para atualizações sob a referência CW1226324 e revisar os logs de atividade do Copilot em busca de acesso anômalo a conteúdo rotulado.