微软Copilot八个月内两次无视敏感标签，DLP堆栈未能检测到违规行为

从2026年1月21日开始的四周内，尽管有明确的敏感标签和数据丢失防护（DLP）策略指示，微软的Copilot仍读取并总结了机密邮件。此次违规事件中，微软内部管道的执行点失效，且安全堆栈中的任何工具都未能标记出这一问题。受影响的组织包括英国国家医疗服务体系（NHS），该机构将其记录为INC46740412，这表明了此次故障对受监管医疗环境的影响范围。微软将此事件追踪为CW1226324。此项咨询（最初由BleepingComputer于2月18日报道）标志着Copilot的检索管道在八个月内第二次违反其信任边界——即AI系统访问或传输被明确限制接触的数据。第一次事件更为严重。

2025年6月，微软修补了CVE-2025-32711，这是一个由Aim Security研究人员命名为“EchoLeak”的严重零点击漏洞。一封恶意邮件绕过了Copilot的提示注入分类器、链接编辑、内容安全策略及其引用提及，从而秘密窃取了企业数据。此过程无需点击，也无需用户操作。微软为此漏洞分配了9.3的CVSS评分。

两次事件的根本原因不同，但都指向一个盲点：一次是代码错误，另一次是复杂的漏洞利用链，但都产生了相同的结果。Copilot处理了被明确限制接触的数据，而安全堆栈却一无所知。

为什么端点检测与响应（EDR）和Web应用防火墙（WAF）在架构上对此持续存在盲点？EDR监控文件和进程行为，WAF检查HTTP负载。两者都没有针对“您的AI助手刚刚违反了其信任边界”的检测类别。这种差距的存在是因为大型语言模型（LLM）检索管道位于传统安全工具从未被设计来观察的执行层之后。Copilot摄取了被告知要跳过的带标签邮件，而整个操作都发生在微软的基础设施内部。