Microsoft je objavio da je njegov generativni asistent Copilot punih mjesec dana – od 21. siječnja do 18. veljače – čitao i sažimao povjerljivu elektroničku poštu premda su je oznake osjetljivosti i politike sprječavanja gubitka podataka izričito trebale zaštititi.
Kako stoji u internoj obavijesti koju je prva prenijela stranica BleepingComputer, propust je registriran pod oznakom CW1226324. Među pogođenima je i britanski Nacionalni zdravstveni sustav (NHS), koji je incident zabilježio pod brojem INC46740412 – pokazatelj koliko je duboko potez prodro u visoko regulirano zdravstveno okruženje.
Riječ je o drugom ozbiljnom kršenju „povjerljivih granica” Copilota u posljednjih osam mjeseci. U lipnju 2025. Microsoft je zakrpao kritičnu ranjivost CVE-2025-32711, koju su istraživači Aim Securityja nazvali „EchoLeak”. Dovoljna je bila jedna zlonamjerna poruka da zaobiđe klasifikator prompt-injekcija, redakciju poveznica i Content-Security-Policy te neprimjetno izvuče podatke tvrtke, bez ijednog klika ili korisničke radnje. Tada je ranjivost dobila CVSS ocjenu 9,3.
Zašto ju sigurnosni alati nisu vidjeli?
• EDR (sustavi za otkrivanje i odgovor na krajnjim točkama) prate datoteke i procese. • WAF-ovi (vatrozidi za web-aplikacije) analiziraju HTTP promet.
Nijedan nije kreiran da prepozna scenarij u kojem „AI pomoćnik krši vlastitu politiku pristupa”. Copilotova se obrada odvija unutar Microsoftove infrastrukture – između indeksa za dohvat i samog modela – pa ništa ne pada na disk, ne prelazi mrežni obod i ne pokreće proces koji bi agent na računalu označio. Drugim riječima, tradicionalni sigurnosni sloj jednostavno ne vidi gdje se prekršaj dogodio.
Microsoft navodi da je pogreška u putanji kôda omogućila porukama iz mapa „Poslano” i „Skice” ulazak u skup podataka za dohvat, iako su naljepnice osjetljivosti i DLP pravila to trebali spriječiti. S „EchoLeakom” je scenarij bio drukčiji, ali ishodi su slični: zlonamjerni tekst maskiran u običnu poslovnu korespondenciju natjerao je Copilot da podijeli interne informacije s poslužiteljem napadača.
Zajednički nazivnik obaju incidenata je potpuna šutnja alata za nadzor – nijedan SIEM, EDR ili WAF nije podigao uzbunu. Organizacije su za propuste doznale tek zahvaljujući Microsoftovu savjetodavnom kanalu.
Kompanija nije otkrila koliko je klijenata zahvaćeno, niti koje su informacije mogle biti kompromitirane tijekom četverotjednog izlaganja. Za sigurnosne stručnjake upravo je ta rupa najveća priča: ozbiljan prodor unutar dobavljačeve AI infrastrukture, bez ikakvog traga u postojećem obrambenom sloju.
„Sljedeći će se promašaj dogoditi bez alarma”, upozoravaju autori objave, sugerirajući da će se industrija morati prilagoditi kako bi nadzirala duboke slojeve umjetno-inteligentnih sustava prije nego što postanu nova slijepa točka kibernetičke obrane.