Microsoft 365 Copilot’ta kritik hata: Gizli e-postalar özetlendi

Microsoft, Microsoft 365 Copilot’ta belirleme edilen tek yazılım yanlışsının, hassasiyet etiketleri ve bilgi kaybı önleme (DLP) politikalarıyla korunması lüzumen bazı e-postaların Copilot Chat tarafından özetlenmesine yolda açtığını duyurdu. Şirket, sualnun 21 Ocak tarihinde ayrım edildiğini ve Copilot’un “work tab” olarak adlandırılan iş sekmesi konuşma deneyimiyle bağlantılı olduğunu açıkladı. Söz başlıksu yanlış, özellikle firma ortamlarda güvenlik katmanlarına güvenen kuruluşlar açısından ilgi çekici tek riskler oluşturdu. Buna rağmen Microsoft, sualnun kaynağını belirleyerek Şubat ayı başında düzeltme sürecini başlattığını bildirdi.

BleepingComputer tarafından birinci kez gündeme taşınan olayda, dahili tek şifre yanlışsının Copilot’un “work tab” konuşma alanında Sent Items (Gönderilmiş Öğeler) ve Drafts (Taslaklar) klasörlerindeki içeriklere erişmesine nedenler olduğu aktarıldı. Normal koşullarda hassasiyet etiketi ve DLP politikalarıyla sınırlandırılması lüzumen bu içerikler, yanlışlı yapılandırma sebebiyle özetleme sürecine karışmış edildi. Özellikle taslak klasörlerinde henüz paylaşılmamış müzakere metinleri, mali tasarıksiyonlar ya da düzenlenmemiş ifadeler bulunabildiği düşünüldüğünde, bu durumun gizilgüç tesirsi daha da artıyor. Gönderilmiş öğeler klasörü ise müşteri, iş ortağı ya da düzenleyici kurumlarla paylaşılan nihai olarak içerikleri barındırabildiği için ayrı tek önem taşıyor. Böyle tek içeriğin konuşma özetlerinde mekan alması, malumatnin müessese içinde beklenenden daha geniş tek dolaşıma girmesine yolda açabiliyor.

Microsoft 365 Copilot sualnuyla ilgili bazı detayları paylaşmadı

Buradaki ilköğretim nokta, kullanıcıların e-postaları manuel olarak Copilot’a kopyalayıp yapıştırmasından ziyade, sistemin otomatik erişim davranışıyla ilgili. Yani sualn, kullanıcı yanlışsından çok arka plandaki erişim denetim mekanizmasının beklenmedik şekilde çalışmasından kaynaklandı. Bu durum, özellikle duyarlı verilerin yapay zekâ yardımli araçlarla işlenmesi sürecinde güvenlik sınırlarının ne kadar netler çizildiği sualsunu gündeme getirdi. Her ne kadar Microsoft düzeltme yayımladığını açıklamış olsa da, tesirlenen kullanıcı (tenant) sayısına ve sualnun 21 Ocak öncesinde ne kadar süredir devam ettiğine ilişkin ayrıntılar paylaşılmadı. Bu belirsizlik, güvenlik ekiplerinin olayın içerikını değerlendirmesini güçlaştırıyor.

Kurumsal BT yöneticileri açısından öncelikli adım, ilgili düzeltmenin öz ortamlarına ulaşıp ulaşmadığını doğrulamak olarak öne çıkıyor. Bunun yanında, Copilot’un “work tab” konuşma alanında etiketlenmiş e-postaları hâlâ özetleyip özetlemediğinin testleri edilmesi öneriliyor. Elde edilen bulguların kayıt altına alınması ve denetim notlarıyla birlikteki saklanması, önde yapılabilecek iç güvenlik ttesirkleri için önem taşıyor. Buna rağmen yalnızca teknikleri düzeltmeye güvenmek yerine, şimdiki hassasiyet etiketleri ve DLP kaidelarının da gözden geçirilmesi öneri ediliyor. Özellikle düzenlemeye tabi sektörlerde etkinlik gösteren kurumların daha içeriklı tek ttesirk yürütmesi lüzumebiliyor.

Öte yandan bu gelişme, üretken yapay zekâ araçlarının firma veriyle tesirleşimi başlıksunda daha titiz tek yaklaşım lüzumtirdiğini ortaya koyuyor. Copilot gibi araçlar randıman sağlarken, buna ilave olarak bilgi erişim sınırlarının doğru tanımlanması eleştirel önem taşıyor. Güvenlik ekipleri için yalnızca teknikleri yamaların uygulanması değil, aynı zamanda düzenli testleri ve doğrulama süreçlerinin işletilmesi da lüzumiyor. Bununla birlikteki çalışanların, yapay zekâ tarafından üretilen özetleri tam doğru onayladı seçenek doğrulama alışkanlığı kazanması da riskleri azaltabiliyor.

Teknoblog, teknolojiler gündemini farklı platformlarda düzenli biçimde paylaşıyor. WhatsApp kanalında öne çıkan haberleri anlık olarak aktarıyor, Google Haberler üzerinden güncel içerikleri sunuyor, Instagram ve X hesaplarında ilgi çeken başlıkları özetliyor, YouTube kanalında ise ürün ttesirkleri ve detaylı anlatımlarla içeriği tamamlıyor.