Microsoft 365 Copilot Hatası: Gizli Yazışmalar Yapay Zekaya Sızdı
Bu hafta duyurulan bilgiye göre, sisteminde meydana gelen bir açık nedeniyle yapay zeka, gizlice işaretlenmiş e-postaları okuyup özetledi. Bu durum, kurumların hassas bilgilerini koruma ve veri sızıntılarını engelleme amacıyla güvendikleri veri kaybı önleme (DLP) politikalarını etkisiz hale getirdi.
BleepingComputer’ın elde ettiği servis uyarısına göre, CW1226324 koduyla izlenen bu sorun ilk kez 21 Ocak 2026’da tespit edildi. Hata özellikle Copilot’un “iş sekmesi” sohbet özelliğini etkiledi. Otomatik araçların erişimini kısıtlamak için gizlilik etiketlerine sahip olsalar bile, kullanıcıların ‘Gönderilmiş Öğeler’ ve ‘Taslaklar’ klasörlerinde saklanan e-postalar yanlış işlendi. Microsoft, DLP politikalarının yapılandırılmış olmasına rağmen bu mesajların yapay zeka tarafından özetlendiğini bildirdi.
Microsoft, bu güvenlik açığını sistemdeki belirsiz bir kod hatasıyla ilişkilendirdi ve Şubat ayının başında bir düzeltme yayınlamaya başladı. Şirket, gizli etiketler olmasına rağmen gönderilen öğeler ve taslak klasörlerindeki içeriğin Copilot tarafından alınmasına izin veren bir kod problemi olduğunu doğruladı. Çarşamba günü itibarıyla düzeltmenin dağıtımının izlendiği ve etkilenen bazı kullanıcılarla iletişime geçilerek düzeltmenin çalıştığı doğrulandı. Ancak tam çözüm için henüz net bir tarih verilmedi.
Bu uyarı aynı zamanda İngiltere Ulusal Sağlık Servisi (NHS) destek portalı tarafından da yeniden yayınlandı. Bu durum, hatanın sağlık hizmetleri gibi hassas sektörlere kadar uzandığını gösteriyor. Microsoft, etkilenen kullanıcı veya kuruluş sayısını henüz açıklamazken, soruşturma devam ettikçe etkilenenlerin sayısının değişebileceğini belirtti. Güvenlik analistleri, ‘Gönderilmiş Öğeler’ klasöründeki içeriğin genellikle dışarıya gönderilen kurumsal yazışmaları içerdiği için bu güvenlik açığının endişe verici olduğunu belirtiyor. Outlook’taki gizli ibaresi sıkça iş anlaşmaları, yasal yazışmalar ve kişisel sağlık bilgileri için kullanılır. Bu hata, şirketlerin yapay zeka destekli araçların veri yönetimi kontrollerine uyma zorluklarını bir kez daha vurguluyor. Microsoft belgeleri, hassasiyet etiketlerinin Copilot’un erişimini sınırlandırması gerektiğini belirtse de, bu olay korumanın pratikte işe yaramayabileceğini kanıtlıyor. Yapay zeka asistanlarının kurumsal verilerle entegrasyonu iş süreçlerini hızlandırabilirken güvenlik risklerini de beraberinde getirebilir.
