微软确认Copilot误读机密邮件标签致DLP策略失效

微软近日确认，Microsoft 365 Copilot存在一项安全机制偏差：自2026年1月下旬起，该AI助手在未经用户授权的情况下，对用户标记为“机密”的电子邮件内容进行读取与摘要处理，从而规避了企业环境中依赖的数据防泄漏策略。

该问题最早于2026年1月21日被识别，影响范围限于Copilot工作标签页中的聊天功能。具体表现为：即使邮件已应用敏感度标签，并已在系统中配置相应的数据防泄漏规则，Copilot仍会错误地访问用户已发送邮件及草稿文件夹中的内容，其中包括明确禁止自动化工具调阅的高敏感信息。

经核查，问题根源在于一段逻辑缺陷代码，致使Copilot未能正确识别并遵循“机密”敏感度标签的访问限制，进而持续抓取已发送与草稿文件夹中的相关项目。微软指出，此异常行为并未造成信息越权扩散——即未向原本无访问权限的人员开放任何受保护数据，仅偏离了产品设计中关于“自动排除受保护内容”的既定原则。

目前，微软已于2026年2月初启动全球范围内的配置更新推送，面向企业客户分批部署修复措施，并将持续跟踪验证修复成效。