Microsoft bestätigte einen Fehler in seiner Copilot-Chat-Funktion, der es der KI ermöglichte, vertrauliche E-Mails von Kunden ohne Erlaubnis zu lesen und zusammenzufassen. Die Schwachstelle mit der Bezeichnung CW1226324 ist seit Januar aktiv. Dabei wurden DLP-Richtlinien (Data Loss Prevention) umgangen, was bedeutet, dass als „vertraulich“ gekennzeichnete E-Mails von Microsoft 365 Copilot Chat trotz Einschränkungen verarbeitet wurden, die verhindern sollten, dass vertrauliche Informationen in das große Sprachmodell gelangen.
Das Problem betrifft zahlende Microsoft 365-Kunden, die die KI-gestützte Chat-Funktion in Office-Softwareprodukten wie Word, Excel und PowerPoint nutzen. Bleeping Computer meldete zunächst den Fehler, den Microsoft später bestätigte. Der Technologieriese begann Anfang Februar mit der Einführung einer Lösung für die Sicherheitslücke. Microsoft hat die Anzahl der von dem Verstoß betroffenen Kunden nicht bekannt gegeben.
Unabhängig davon hat die IT-Abteilung des Europäischen Parlaments integrierte KI-Funktionen auf von der Arbeit ausgegebenen Geräten blockiert. Beamte äußerten Bedenken, dass die KI-Tools möglicherweise vertrauliche Korrespondenz in die Cloud hochladen könnten.
