خلل في Microsoft 365 Copilot كشف رسائل بريد إلكترونية سرية لأسابيع

كشفت مشكلة أمنية كبيرة في نظام Microsoft 365 Copilot عن حقيقة مرّة للمؤسسات حول دمج الذكاء الاصطناعي في مجموعات الإنتاجية: حتى الضمانات الحسنة النية يمكن أن تفشل. منذ أواخر يناير، كان مساعد الذكاء الاصطناعي يلخص رسائل البريد الإلكتروني السرية بطرق تجاوزت تماماً سياسات منع فقدان البيانات (DLP) والعلامات الحساسة المعمول بهاالضوابط المصممة بالضبط لمنع هذا السيناريو.

يؤثر هذا الحادث على المؤسسات التي تعتمد على ميزة Microsoft 365 Copilot Chat، وهي أداة مدعومة بالذكاء الاصطناعي متاحة للعملاء الدافعين عبر تطبيقات Word و Excel و PowerPoint و Outlook و OneNote. يؤثر الخلل، المتتبع داخلياً باسم CW1226324 والمكتشف لأول مرة في 21 يناير، بشكل خاص على تجربة دردشة Copilot "علامة التبويب العمل"، التي صُممت لمساعدة المستخدمين على التفاعل مع وكلاء الذكاء الاصطناعي مع احترام ضوابط الحوكمة التنظيمية.

كان السبب الجذري عيباً في الكود سمح لـ Copilot بامتصاص وتلخيص رسائل البريد الإلكتروني المخزنة في مجلدات "العناصر المرسلة" و"المسودات" للمستخدمين، حتى عندما كانت تلك الرسائل تحمل علامات سرية صريحة وكانت محمية بواسطة سياسات منع فقدان البيانات. يؤكد وصف شركة Microsoft الخاص بالمشكلة على الخطورة: "رسائل البريد الإلكتروني للمستخدمين التي تحمل علامة سرية يتم معالجتها بشكل غير صحيح بواسطة دردشة Microsoft 365 Copilot. دردشة Copilot 'علامة التبويب العمل' في Microsoft 365 تلخص رسائل البريد الإلكتروني حتى عندما تحمل هذه الرسائل علامة حساسة وتم تكوين سياسة منع فقدان البيانات."

ما يجعل هذا مقلقاً بشكل خاص هو أن العلامات الحساسة وسياسات منع فقدان البيانات هي أدوات حوكمة أساسية في الصناعات المنظمةتعتمد عليها قطاعات الرعاية الصحية والمالية والقانونية والحكومية لمنع الوصول غير المصرح به أو المشاركة أو تسرب البيانات الحساسة. كان الخلل يجعل هذه الضوابط غير مرئية بشكل أساسي لـ Copilot، مما يخلق نقطة عمياء في بنية الأمان المؤسسي. كان العيب محدوداً بشكل ضيق على مجلدات "العناصر المرسلة" و"المسودات"، مما يعني أن رسائل البريد الإلكتروني في المجلدات الأخرى لم تتأثر، لكن هذا التمييز يوفر راحة قليلة للمؤسسات التي تخزن بانتظام رسائل بريد إلكترونية سرية مسودة ومراسلات مرسلة.

ظلت الثغرة نشطة لمدة ثلاثة أسابيع تقريباً قبل أن تعترف Microsoft بها علناً. أبلغ العملاء عن المشكلة لأول مرة في 21 يناير 2026، لكن Microsoft لم تؤكد المشكلة إلا في أوائل فبراير، عندما بدأت في طرح إصلاح. اعتباراً من منتصف فبراير، استمرت الشركة في مراقبة النشر وتواصلت مع مجموعة فرعية من المستخدمين المتأثرين للتحقق من الإصلاح، لكن Microsoft لم تكشف عن العدد الإجمالي للمؤسسات أو المستخدمين المتأثرين.

يتم تصنيف الحادث حالياً كإشعار استشاريتصنيف عادة ما يكون مخصصاً لمشاكل الخدمة ذات النطاق المحدود أو التأثير المحدود. ومع ذلك، جذب هذا التصنيف انتقادات من متخصصي الأمن وقادة تكنولوجيا المعلومات الذين يتساءلون عما إذا كان انتهاك معالجة البريد الإلكتروني السري يستحق مثل هذا التصنيف منخفض الخطورة. لم توفر Microsoft جدولاً زمنياً محدداً للحل الكامل، مما يترك المؤسسات في حالة من عدم اليقين حول متى سيتم نشر الإصلاح عالمياً.

يجب على المؤسسات التي تستخدم Microsoft 365 Copilot اتخاذ إجراء فوري لتقييم تعرضها. أولاً، راجع إعدادات Copilot وسياسات منع فقدان البيانات للتأكد من تكوينها بشكل صحيح. إذا تلقيت إشعاراً من Microsoft حول تأثرك، تحقق من تطبيق الإصلاح على مستأجرك. ثانياً، قم بمراجعة أي تفاعلات Copilot Chat حدثت بين 21 يناير وأوائل فبراير لتحديد ما إذا تمت معالجة أو تلخيص معلومات حساسة. ثالثاً، فكر في تقييد الوصول إلى Copilot مؤقتاً لمجلدات البريد الإلكتروني الحساسة حتى تؤكد Microsoft الحل الكامل عبر مؤسستك.

بالنسبة للصناعات المنظمة، قد يؤدي هذا الحادث إلى متطلبات مراجعة الامتثال. يجب على المؤسسات الخاضعة لأنظمة HIPAA أو GDPR أو SOX أو أطر تنظيمية أخرى توثيق الخلل والجدول الزمني للتعرض والخطوات المتخذة للإصلاح. يجب على فريقي الشؤون القانونية والامتثال تقييم ما إذا كانت التزامات إخطار الانتهاك تنطبق، خاصة إذا تمت معالجة بيانات العملاء السرية أو المعلومات الشخصية القابلة للتحديد بواسطة Copilot بدون تفويض.

يكشف هذا الخلل عن تحدٍ أساسي في نشر الذكاء الاصطناعي المؤسسي: صعوبة فرض سياسات حوكمة البيانات عبر الأنظمة المعقدة والمترابطة. تم تصميم Copilot Chat ليكون محتوى الوعي والسياق الحساس، مما يتطلب وصولاً واسعاً إلى بيانات المؤسسة. ومع ذلك، يخلق هذا الوصول الواسع نفسه مخاطر إذا لم يحترم الكود الأساسي حدود الأمان بشكل صحيح. يثير الحادث أسئلة مريحة حول مدى شمول اختبار Microsoft لـ Copilot قبل طرحه للعملاء المؤسسيين، خاصة بالنظر إلى أن فحص البريد الإلكتروني في مجلد "العناصر المرسلة" كان يجب أن يكون خطوة تحقق أساسية لفرض سياسة منع فقدان البيانات.

استجابت قسم تكنولوجيا المعلومات بالبرلمان الأوروبي بالفعل بحظر ميزات الذكاء الاصطناعي المدمجة على أجهزة العمل الخاصة بأعضاء البرلمان، مستشهداً بمخاوف من أن أدوات الذكاء الاصطناعي قد تحمل المراسلات السرية إلى السحابة بدون ضمانات مناسبة. يعكس هذا القرار الشكوك المتزايدة حول ما إذا كان يمكن الوثوق بتطبيقات الذكاء الاصطناعي الحالية ببيانات المؤسسة الحساسة، حتى مع وجود سياسات في مكانها.

س: هل يؤثر هذا الخلل على جميع مستخدمي Microsoft 365؟
ج: لا. يؤثر الخلل بشكل خاص على المؤسسات التي تستخدم Microsoft 365 Copilot Chat، وهي ميزة إضافية مدفوعة للعملاء التجاريين. حسابات Microsoft 365 الشخصية بدون Copilot Chat لا تتأثر.

س: هل يمكنني التحقق مما إذا تأثرت مؤسستي؟
ج: تواصلت Microsoft مع مجموعة فرعية من المستخدمين المتأثرين، لكن الشركة لم تكشف عن العدد الإجمالي للمؤسسات المتأثرة. اتصل بمسؤول تكنولوجيا المعلومات الخاص بك أو دعم Microsoft للتأكد مما إذا تأثر مستأجرك وما إذا تم تطبيق الإصلاح.

س: ماذا يجب أن أفعل إذا كانت مؤسستي تستخدم Copilot Chat؟
ج: راجع سياسات منع فقدان البيانات وإعدادات Copilot، تحقق من نشر الإصلاح، وقم بمراجعة تفاعلات Copilot من 21 يناير إلى أوائل فبراير لتقييم التعرض. إذا كانت مؤسستك تتعامل مع بيانات منظمة، فشارك فريقي الامتثال والشؤون القانونية.

يعتبر هذا الحادث تذكيراً مؤلماً بأن دمج الذكاء الاصطناعي في الأنظمة المؤسسية يتطلب اختباراً أكثر صرامة وحوكمة من ميزات البرامج التقليدية. حقيقة أن عيباً في الكود يمكن أن يتجاوز بصمت ضوابط الأمان الأساسية لمدة ثلاثة أسابيع تشير إلى أن بروتوكولات اختبار Microsoft لـ Copilot لم تحاكِ بشكل كافٍ سيناريوهات منع فقدان البيانات في العالم الحقيقي. يجب على المؤسسات عدم افتراض أن مساعدات الذكاء الاصطناعي ستحترم تلقائياً سياسات الأمانيجب عليها التحقق بنشاط والتدقيق وتقييد وصول الذكاء الاصطناعي إلى البيانات الحساسة حتى يثبت البائعون الامتثال المتسق والشفاف لضوابط الحوكمة. في الوقت الحالي، يجب على المؤسسات في الصناعات المنظمة أن تفكر بجدية فيما إذا كانت مكاسب الإنتاجية من Copilot Chat تبرر مخاطر الحوكمة، خاصة حتى توفر Microsoft مزيداً من الشفافية حول نطاق هذا الحادث وضمانات أقوى حول الضمانات المستقبلية.