Durante quatro semanas, a partir de 21 de janeiro, o Copilot da Microsoft leu e resumiu e-mails confidenciais, apesar de todos os rótulos de confidencialidade e políticas de DLP dizerem para não fazê-lo. Os pontos de aplicação quebraram o pipeline da própria Microsoft e nenhuma ferramenta de segurança na pilha os sinalizou. Entre as organizações afetadas estava o Serviço Nacional de Saúde do Reino Unido, que registrou como INC46740412 — um sinal de até que ponto a falha atingiu os ambientes regulamentados de saúde. A Microsoft o rastreou como CW1226324.
A assessoria, relatado pela primeira vez por BleepingComputer em 18 de fevereiro, marca a segunda vez em oito meses que o pipeline de recuperação do Copilot violou seu próprio limite de confiança – uma falha na qual um sistema de IA acessa ou transmite dados que estava explicitamente proibido de tocar. O primeiro foi pior.
Em junho de 2025, a Microsoft corrigiu CVE-2025-32711uma vulnerabilidade crítica de zero clique que os pesquisadores da Aim Security apelidaram de “EchoLeak”. Um e-mail malicioso contornou o classificador de injeção imediata do Copilot, sua redação de link, sua política de segurança de conteúdo e suas menções de referência para exfiltrar silenciosamente dados corporativos. Nenhum clique e nenhuma ação do usuário foram necessários. A Microsoft atribuiu-lhe um Pontuação CVSS de 9,3.
Duas causas raízes diferentes; um ponto cego: um erro de código e uma cadeia de exploração sofisticada produziram um resultado idêntico. O Copilot processou dados que foram explicitamente proibidos de tocar e a pilha de segurança não viu nada.
Por que EDR e WAF continuam arquitetonicamente cegos para isso
A detecção e resposta de endpoint (EDR) monitora o comportamento de arquivos e processos. Os firewalls de aplicativos da Web (WAFs) inspecionam cargas HTTP. Também não existe uma categoria de detecção para “seu assistente de IA acabou de violar seu próprio limite de confiança”. Essa lacuna existe porque os pipelines de recuperação de LLM ficam atrás de uma camada de aplicação que as ferramentas de segurança tradicionais nunca foram projetadas para observar.
O Copilot ingeriu um e-mail rotulado que foi instruído a ignorar, e toda a ação aconteceu dentro da infraestrutura da Microsoft. Entre o índice de recuperação e o modelo de geração. Nada foi descartado no disco, nenhum tráfego anômalo cruzou o perímetro e nenhum processo foi gerado para um agente de endpoint sinalizar. A pilha de segurança relatou tudo limpo porque nunca viu a camada onde ocorreu a violação.
O bug CW1226324 funcionou porque um erro de caminho de código permitiu que mensagens em Itens Enviados e Rascunhos entrassem no conjunto de recuperação do Copilot, apesar dos rótulos de confidencialidade e regras DLP que deveriam tê-los bloqueado, de acordo com o comunicado da Microsoft. O EchoLeak funcionou porque os pesquisadores da Aim Security provaram que um e-mail malicioso, redigido para parecer uma correspondência comercial comum, poderia manipular o pipeline de geração de recuperação aumentada do Copilot para acessar e transmitir dados internos para um servidor controlado pelo invasor.
Os pesquisadores da Aim Security o caracterizaram como um falha fundamental de design: os agentes processam dados confiáveis e não confiáveis no mesmo processo de pensamento, tornando-os estruturalmente vulneráveis à manipulação. Essa falha de design não desapareceu quando a Microsoft corrigiu o EchoLeak. CW1226324 prova que a camada de aplicação em torno dele pode falhar de forma independente.
A auditoria de cinco pontos que mapeia ambos os modos de falha
Nenhuma das falhas desencadeou um único alerta. Ambos foram descobertos por meio de canais de consultoria de fornecedores – não por meio de SIEM, nem por meio de EDR, nem por meio de WAF.
CW1226324 tornou-se público em 18 de fevereiro. Os locatários afetados foram expostos desde 21 de janeiro. A Microsoft não divulgou quantas organizações foram afetadas ou quais dados foram acessados durante essa janela. Para os líderes de segurança, essa lacuna é a história: uma exposição de quatro semanas dentro do pipeline de inferência de um fornecedor, invisível para todas as ferramentas da pilha, descoberta apenas porque a Microsoft decidiu publicar um comunicado.
1. Teste a aplicação de DLP diretamente no Copilot. O CW1226324 existiu por quatro semanas porque ninguém testou se o Copilot realmente respeitava os rótulos de confidencialidade em itens enviados e rascunhos. Crie mensagens de teste rotuladas em pastas controladas, consulte o Copilot e confirme se ele não pode exibi-las. Execute este teste mensalmente. Configuração não é imposição; a única prova é uma tentativa fracassada de recuperação.
2. Impedir que conteúdo externo chegue à janela de contexto do Copilot. O EchoLeak foi bem-sucedido porque um e-mail malicioso entrou no conjunto de recuperação do Copilot e suas instruções injetadas foram executadas como se fossem a consulta do usuário. O ataque contornou quatro camadas de defesa distintas: classificador de injeção de prompt cruzado da Microsoft, redação de link externo, controles de política de segurança de conteúdo e salvaguardas de menção de referência, de acordo com a divulgação da Aim Security. Desative o contexto de e-mail externo nas configurações do Copilot e restrinja a renderização de Markdown nas saídas de IA. Isso detecta a classe de falha da injeção imediata, removendo totalmente a superfície de ataque.
3. Logs de Auditoria para interações anômalas do Copilot durante a janela de exposição de janeiro a fevereiro. Procure consultas do Copilot Chat que devolveram conteúdo de mensagens etiquetadas entre 21 de janeiro e meados de fevereiro de 2026. Nenhuma das classes de falha produziu alertas através do EDR ou WAF existente, pelo que a deteção retrospetiva depende da telemetria do Purview. Se o seu locatário não conseguir reconstruir o que o Copilot acessou durante a janela de exposição, documente essa lacuna formalmente. É importante para a conformidade. Para qualquer organização sujeita a exame regulamentar, uma lacuna não documentada no acesso a dados de IA durante uma janela de vulnerabilidade conhecida é uma descoberta de auditoria à espera de acontecer.
4. Ative a descoberta de conteúdo restrito para sites do SharePoint com dados confidenciais. O RCD remove totalmente os sites do pipeline de recuperação do Copilot. Ele funciona independentemente de a violação de confiança vir de um bug de código ou de um prompt injetado, porque os dados nunca entram na janela de contexto. Esta é a camada de contenção que não depende do ponto de fiscalização que rompeu. Para organizações que lidam com dados confidenciais ou regulamentadoso RCD não é opcional.
5. Crie um manual de resposta a incidentes para falhas de inferência hospedadas pelo fornecedor. Os manuais de resposta a incidentes (IR) precisam de uma nova categoria: violações dos limites de confiança dentro do pipeline de inferência do fornecedor. Defina caminhos de escalonamento. Atribuir propriedade. Estabeleça uma cadência de monitoramento para avisos de integridade de serviços de fornecedores que afetem o processamento de IA. Seu SIEM também não detectará o próximo.
O padrão que vai além do Copilot
UM Pesquisa de 2026 feita por Cybersecurity Insiders descobriram que 47% dos CISOs e líderes seniores de segurança já observaram agentes de IA exibirem comportamento não intencional ou não autorizado. As organizações estão implantando assistentes de IA na produção mais rápido do que conseguem construir uma governança em torno deles.
Essa trajetória é importante porque esta estrutura não é específica do Copilot. Qualquer assistente baseado em RAG que extrai dados corporativos segue o mesmo padrão: uma camada de recuperação seleciona o conteúdo, uma camada de aplicação controla o que o modelo pode ver e uma camada de geração produz resultados. Se a camada de aplicação falhar, a camada de recuperação alimentará o modelo com dados restritos e a pilha de segurança nunca os verá. Copilot, Gemini for Workspace e qualquer ferramenta com acesso de recuperação a documentos internos apresentam o mesmo risco estrutural.
Execute a auditoria de cinco pontos antes da próxima reunião do conselho. Comece com mensagens de teste rotuladas em uma pasta controlada. Se o Copilot os revelar, todas as políticas subjacentes serão um teatro.
A diretoria responde: “Nossas políticas foram configuradas corretamente. A aplicação falhou dentro do pipeline de inferência do fornecedor. Aqui estão os cinco controles que estamos testando, restringindo e exigindo antes de reativarmos o acesso total para cargas de trabalho confidenciais”.
A próxima falha não enviará um alerta.
