微软Copilot八个月内两次无视敏感标签,DLP堆栈未能检测到违规行为
微软的AI助手Copilot在八个月内两次违反其信任边界,无视敏感标签和数据丢失防护(DLP)策略,读取并总结了机密邮件。最近一次事件发生在2026年1月21日,持续四周,影响了包括英国国家医疗服务体系(NHS)在内的组织。此前在2025年6月,一个名为“EchoLeak”的严重零点击漏洞(CVE-2025-32711)导致企业数据被秘密窃取。两次事件的根本原因不同,但结果一致:Copilot处理了被明确限制的数据,而现有安全工具未能检测到这些违规行为,暴露出传统安全架构在大型语言模型(LLM)检索管道监控方面的盲点。
从2026年1月21日开始的四周内,尽管有明确的敏感标签和数据丢失防护(DLP)策略指示,微软的Copilot仍读取并总结了机密邮件。此次违规事件中,微软内部管道的执行点失效,且安全堆栈中的任何工具都未能标记出这一问题。受影响的组织包括英国国家医疗服务体系(NHS),该机构将其记录为INC46740412,这表明了此次故障对受监管医疗环境的影响范围。微软将此事件追踪为CW1226324。此项咨询(最初由BleepingComputer于2月18日报道)标志着Copilot的检索管道在八个月内第二次违反其信任边界——即AI系统访问或传输被明确限制接触的数据。第一次事件更为严重。
2025年6月,微软修补了CVE-2025-32711,这是一个由Aim Security研究人员命名为“EchoLeak”的严重零点击漏洞。一封恶意邮件绕过了Copilot的提示注入分类器、链接编辑、内容安全策略及其引用提及,从而秘密窃取了企业数据。此过程无需点击,也无需用户操作。微软为此漏洞分配了9.3的CVSS评分。
两次事件的根本原因不同,但都指向一个盲点:一次是代码错误,另一次是复杂的漏洞利用链,但都产生了相同的结果。Copilot处理了被明确限制接触的数据,而安全堆栈却一无所知。
为什么端点检测与响应(EDR)和Web应用防火墙(WAF)在架构上对此持续存在盲点?EDR监控文件和进程行为,WAF检查HTTP负载。两者都没有针对“您的AI助手刚刚违反了其信任边界”的检测类别。这种差距的存在是因为大型语言模型(LLM)检索管道位于传统安全工具从未被设计来观察的执行层之后。Copilot摄取了被告知要跳过的带标签邮件,而整个操作都发生在微软的基础设施内部。
