A Microsoft reconheceu uma falha na Microsoft 365 Copilot que, desde o final de janeiro, permitiu ao assistente da IA ler e resumir e-mails marcados como confidenciais, esquivando assim as políticas que muitas empresas usam para proteger informações sensíveis. A empresa detectou o problema no final de janeiro e comunicou-o em seu centro de mensagens internas (referência como CW1226324), enquanto meios especializados como BleepingComputer Eles seguiram o caso e publicaram detalhes adicionais.
O erro afetava especificamente a funcionalidade de chat do ponto de trabalho de Copilot - a interação tipo assistente que pode ajudar a resumir e sintetizar conteúdo armazenado no ambiente da Microsoft 365 - e fazia com que mensagens gravadas nas pastas de Elementos enviados e Borradores fossem incluídas em resumos, apesar de conter rótulos de sensibilidade concebidos para limitar o acesso automatizado. Em termos simples: e-mails que deveriam ficar fora do alcance de ferramentas automáticas estavam sendo processados pela IA.
A Microsoft atribuiu o problema a uma falha de código e começou a colocar uma correção no início de fevereiro. De acordo com a empresa, a implantação continua a ser monitorizada e está a ser contactada a usuários afetados de forma limitada para verificar que a solução funciona. No entanto, a Microsoft ainda não ofereceu uma cronologia definitiva para a remediação completa nem detalha quantas organizações ou contas puderam ser comprometidas; a incidência aparece catalogada como um aviso de serviço, etiqueta que normalmente é utilizada quando o alcance é considerado inicialmente reduzido.
Por que isso é relevante? Os rótulos de sensibilidade e as políticas de prevenção contra perda de dados (DLP) são pilares da governação em ambientes corporativos: são concebidos para impedir que informações financeiras, legais, sanitárias ou quaisquer dados classificados sejam acessíveis ou saiam de determinados perímetros, incluindo processos automáticos. A Microsoft publica documentação sobre como estas marcas funcionam e as políticas de DLP em seu portal de cumprimento ( guia de etiquetas de sensibilidade) e em ambientes com requisitos regulatórios estritos confiar em que essas protecções operam corretamente é crítico.
Do ponto de vista do risco, mesmo se o incidente classificado como “aviso” finalmente afeta um número limitado de casos, a capacidade de uma ferramenta de IA para ler e resumir conteúdo confidencial abre várias frentes: exposição de segredos comerciais, riscos de cumprimento normativo, e, claro, um impacto na confiança interna sobre o uso de assistentes automatizados em processos sensíveis. A combinação de poderosas funções de produtividade com uma confiança insuficiente em controlos de acesso pode criar situações de risco inadvertido.
Para as equipes de TI e segurança que gerenciam a Microsoft 365, a recomendação imediata é verificar os registros de auditoria e as políticas aplicadas em torno de Copilot, revisar as configurações de sensibilidade e DLP, e manter-se em contato com o suporte da Microsoft para conhecer o alcance real e as ações recomendadas. Também vale a pena considerar medidas temporárias de mitigação - como ajustar as permissões de acesso ao Copilot ou limitar a utilização do "work tab" até que a correção esteja plenamente verificada - e documentar quaisquer descobertas por se necessário demonstrar cumprimento a auditores ou autoridades.
A Microsoft oferece informações sobre Copilot e seu funcionamento dentro da suíte empresarial em sua documentação oficial ( Microsoft 365 Copilot), que pode servir como referência ao revisar como estas capacidades são integradas com as políticas de segurança e privacidade existentes. Ao mesmo tempo, os meios de tecnologia têm monitorado as comunicações oficiais e as atualizações de estado, pelo que seguir fontes especializadas ajuda a manter-se informado sobre novos desenvolvimentos.
No final, este episódio enfatiza uma lição que já vinha sonando no setor: as funcionalidades de IA oferecem vantagens claras em produtividade, mas requerem controles e verificações específicas. Não basta habilitar assistentes inteligentes pelo seu valor imediato; é necessário integrá-los dentro de um quadro de governação que garanta que as protecções de dados aplicam como se espera. As organizações que dependem de rótulos de sensibilidade e DLP devem aproveitar este momento para auditar a sua posição e, acima de tudo, para validar que as ferramentas de terceiros e as novas capacidades automatizadas respeitam as regras que mantêm a sua informação segura.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...