دیدگاه‌ خود را بنویسید / اخبار / 3 دقیقه برای مطالعه

مایکروسافت تایید کرد: اشکالی که اجازه خلاصه‌سازی ایمیل‌های محرمانه را به Copilot می‌داد

مایکروسافت تأیید کرده که یک باگ امنیتی به‌مدت چند هفته امکان دسترسی و خلاصه‌سازی محتوای ایمیل‌های محرمانه مشتریان توسط سرویس هوش مصنوعی Copilot Chat را فراهم کرده است. این مشکل که اولین‌بار توسط Bleeping Computer گزارش شد، از ابتدای سال جاری (ژانویه) وجود داشته و حتی سیاست‌های جلوگیری از نشت داده‌ها (DLP) را نادیده گرفته است.

شرح مسئله
– باگ موردنظر، که ادمین‌ها می‌توانند با شناسه پیگیری CW1226324 آن را ببینند، باعث شده پیام‌های پیش‌نویس و ارسال‌شده‌ای که برچسب «محرمانه» دارند، به‌نادرستی توسط Microsoft 365 Copilot Chat پردازش شوند. به‌عبارت دیگر، حتی زمانی که سازمان‌ها قوانین و سیاست‌هایی برای جلوگیری از وارد شدن داده‌های حساس به مدل زبانی بزرگ مایکروسافت تعریف کرده بودند، محتوا خوانده و خلاصه‌سازی شده است.
– Copilot Chat بخشی از سرویس پولی Microsoft 365 است و در محصولات آفیس مانند Word، Excel و PowerPoint به‌عنوان قابلیت گفت‌وگومحور هوش مصنوعی در دسترس کاربران قرار می‌گیرد.

اقدامات مایکروسافت و وضعیت فعلی
– مایکروسافت اعلام کرده که از اوایل فوریه اصلاحیه‌ای را برای رفع این باگ منتشر و آن را در حال توزیع کرده است. با این حال، شرکت پاسخی در خصوص تعداد کاربران یا سازمان‌های متأثّر دریافت نکردن واکنش رسانه‌ای ارائه نکرده است.
– نبود جزئیات رسمی درباره گستره آسیب‌پذیری باعث شده برخی نهادها از جمله دپارتمان فناوری پارلمان اروپا به‌صورت پیشگیرانه ویژگی‌های هوش مصنوعی داخلی را در دستگاه‌های کاری خود مسدود کنند؛ این نهاد نگرانی خود را مبنی بر احتمال آپلود مکاتبات حساس در فضای ابری اعلام کرده است.

پیامدها و ریسک‌ها
– افشای خلاصه یا محتوای ایمیل‌های دارای برچسب محرمانه می‌تواند پیامدهای حقوقی و نظارتی (از جمله تحت قوانین حفاظت داده مانند GDPR در اروپا) و همچنین پیامدهای تجاری و اعتباری برای سازمان‌ها داشته باشد.
– امکان پردازش داده‌های حساس توسط مدل‌های ابری، حتی باوجود سیاست‌های DLP، نشان‌دهنده نیاز به بازنگری در پیکربندی امنیتی و کنترل‌های دسترسی است.

توصیه‌های عملی برای مدیران و سازمان‌ها
– بلافاصله گزارش (CW1226324) را در پورتال ادمین Microsoft 365 بررسی و لاگ‌ها و trace ایمیل‌ها را برای بازه زمانی ژانویه تا زمان اعمال اصلاحیه بررسی کنید.
– در صورت نیاز موقت، قابلیت Copilot Chat را برای کاربران سازمانی غیرفعال کنید تا زمان تأیید کامل رفع باگ و بازبینی سیاست‌های DLP.
– سیاست‌های DLP و برچسب‌گذاری محرمانه (sensitivity labels) را بازبینی و اطمینان حاصل کنید که مسیریابی و جلوگیری از خروج داده‌ها به‌درستی اعمال می‌شود.
– در صورت شناسایی هرگونه نشانه افشای اطلاعات، تیم‌های حقوقی و پاسخ به رخداد (IR) را مطلع و اقدامات لازم برای اطلاع‌رسانی به ذی‌نفعان و مراجع نظارتی را آغاز کنید.
– در صورت نیاز، با پشتیبانی مایکروسافت تماس بگیرید و اطلاعات مربوط به رخداد را با شناسه CW1226324 ارائه کنید.

جمع‌بندی
این رخداد بار دیگر اهمیت نظارت دقیق‌تر بر خدمات ابری و ادغام هوش مصنوعی با سیستم‌های سازمانی را نشان می‌دهد. سازمان‌ها باید هم‌زمان با بهره‌برداری از توانمندی‌های Copilot و سایر ابزارهای مبتنی بر هوش مصنوعی، کنترل‌های امنیتی و سیاست‌های محافظت از داده را تقویت کنند تا از افشای ناخواسته اطلاعات حساس جلوگیری شود.

گفتگوی هوشمند آنلاین

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اسکرول به بالا