Microsoft confirma falha na IA que expõe e-mails

Desde que a IA surgiu que as questões de segurança têm sido abordadas, de uma forma mais ou menos direta. É inevitável ter esse tema em mãos a realidade mostrou que é algo real. Neste contexto, a Microsoft confirma uma falha na sua IA que leva o Copilot a expor e-mails confidenciais.

Microsoft confirma uma falha na sua IA
A Microsoft confirmou uma falha de segurança complexa no Copilot. A gigante do software revelou que a sua IA contornou as medidas de segurança e acedeu a informações marcadas como confidenciais. O Copilot resumiu os e-mails confidenciais de há semanas sem o conhecimento dos utilizadores.
Segundo é revelado, o assistente de IA ignorou as políticas de prevenção contra a perda de dados. O Copilot desconsiderou as etiquetas Purview da Microsoft, uma ferramenta de segurança utilizada pelas empresas para evitar a fuga de informações confidenciais. Ao fazê-lo, o assistente conseguiu ler e resumir os e-mails localizados nas pastas Itens Enviados e Rascunhos dos utilizadores.
O problema reside na forma como o Copilot interage com o protocolo de permissões da infraestrutura da Microsoft. Embora a empresa afirme que o assistente respeita os controlos de acesso do utilizador, na prática, se um funcionário tiver permissão de leitura para um e-mail, a IA pode extrair o conteúdo, processá-lo e apresentá-lo num resumo.
Copilot expõe e-mails confidenciais
Ao solicitar um resumo da caixa de entrada ou de conversas específicas, o Copilot não conseguiu diferenciar entre comunicações comuns e aquelas que continham metadados restritivos. Esta vulnerabilidade não só comprometeu os segredos comerciais, como também permitiu que a informação crítica circulasse internamente sem os filtros de segurança exigidos pelas normas de conformidade.
A vulnerabilidade, catalogada como CW1226324, foi confirmada pela Microsoft. A gigante tecnológica afirma que não se trata de uma falha de segurança, mas sim de uma interpretação errónea das permissões existentes. Até ao momento, não existe uma solução para corrigir a vulnerabilidade. A Microsoft afirmou estar a trabalhar na correção da falha e já entrou em contacto com as empresas afetadas.
A Microsoft não divulgou o número de utilizadores afetados nem a data em que irá lançar uma atualização para limitar a utilização do Copilot. Esta notícia não podia ter chegado em pior altura. O Parlamento Europeu proibiu os seus membros de utilizarem IA nos dispositivos de trabalho. Vai desativar as funcionalidades de IA nos tablets, considerando-os inseguros para a proteção de dados.