Microsoft, Microsoft 365 Copilot’ta tespit edilen bir yazılım hatasının, hassasiyet etiketleri ve veri kaybı önleme (DLP) politikalarıyla korunması gereken bazı e-postaların Copilot Chat tarafından özetlenmesine yol açtığını duyurdu. Şirket, sorunun 21 Ocak tarihinde fark edildiğini ve Copilot’un “work tab” olarak adlandırılan iş sekmesi sohbet deneyimiyle bağlantılı olduğunu açıkladı. Söz konusu hata, özellikle kurumsal ortamlarda güvenlik katmanlarına güvenen kuruluşlar açısından dikkat çekici bir risk oluşturdu. Buna rağmen Microsoft, sorunun kaynağını belirleyerek Şubat ayı başında düzeltme sürecini başlattığını bildirdi.
BleepingComputer tarafından ilk kez gündeme taşınan olayda, dahili bir kod hatasının Copilot’un “work tab” sohbet alanında Sent Items (Gönderilmiş Öğeler) ve Drafts (Taslaklar) klasörlerindeki içeriklere erişmesine neden olduğu aktarıldı. Normal koşullarda hassasiyet etiketi ve DLP politikalarıyla sınırlandırılması gereken bu içerikler, hatalı yapılandırma sebebiyle özetleme sürecine dahil edildi. Özellikle taslak klasörlerinde henüz paylaşılmamış müzakere metinleri, finansal projeksiyonlar veya düzenlenmemiş ifadeler bulunabildiği düşünüldüğünde, bu durumun potansiyel etkisi daha da artıyor. Gönderilmiş öğeler klasörü ise müşteri, iş ortağı ya da düzenleyici kurumlarla paylaşılan nihai içerikleri barındırabildiği için ayrı bir önem taşıyor. Böyle bir içeriğin sohbet özetlerinde yer alması, bilginin kurum içinde beklenenden daha geniş bir dolaşıma girmesine yol açabiliyor.
Microsoft 365 Copilot sorunuyla ilgili bazı detayları paylaşmadı
Buradaki temel nokta, kullanıcıların e-postaları manuel olarak Copilot’a kopyalayıp yapıştırmasından ziyade, sistemin otomatik erişim davranışıyla ilgili. Yani sorun, kullanıcı hatasından çok arka plandaki erişim kontrol mekanizmasının beklenmedik şekilde çalışmasından kaynaklandı. Bu durum, özellikle hassas verilerin yapay zekâ destekli araçlarla işlenmesi sürecinde güvenlik sınırlarının ne kadar net çizildiği sorusunu gündeme getirdi. Her ne kadar Microsoft düzeltme yayımladığını açıklamış olsa da, etkilenen kullanıcı (tenant) sayısına ve sorunun 21 Ocak öncesinde ne kadar süredir devam ettiğine ilişkin ayrıntılar paylaşılmadı. Bu belirsizlik, güvenlik ekiplerinin olayın kapsamını değerlendirmesini zorlaştırıyor.
Kurumsal BT yöneticileri açısından öncelikli adım, ilgili düzeltmenin kendi ortamlarına ulaşıp ulaşmadığını doğrulamak olarak öne çıkıyor. Bunun yanında, Copilot’un “work tab” sohbet alanında etiketlenmiş e-postaları hâlâ özetleyip özetlemediğinin test edilmesi öneriliyor. Elde edilen bulguların kayıt altına alınması ve denetim notlarıyla birlikte saklanması, ileride yapılabilecek iç güvenlik incelemeleri için önem taşıyor. Buna rağmen yalnızca teknik düzeltmeye güvenmek yerine, mevcut hassasiyet etiketleri ve DLP kurallarının da gözden geçirilmesi tavsiye ediliyor. Özellikle düzenlemeye tabi sektörlerde faaliyet gösteren kurumların daha kapsamlı bir inceleme yürütmesi gerekebiliyor.
Öte yandan bu gelişme, üretken yapay zekâ araçlarının kurumsal veriyle etkileşimi konusunda daha dikkatli bir yaklaşım gerektirdiğini ortaya koyuyor. Copilot gibi araçlar verimlilik sağlarken, buna ek olarak veri erişim sınırlarının doğru tanımlanması kritik önem taşıyor. Güvenlik ekipleri için yalnızca teknik yamaların uygulanması değil, aynı zamanda düzenli test ve doğrulama süreçlerinin işletilmesi de gerekiyor. Bununla birlikte çalışanların, yapay zekâ tarafından üretilen özetleri mutlak doğru kabul etmek yerine doğrulama alışkanlığı kazanması da riskleri azaltabiliyor.
