Microsoft mengonfirmasi adanya bug pada asisten kecerdasan buatan (AI) Microsoft 365 Copilot yang membuat sistem dapat memproses e-mail berlabel rahasia (confidential) tanpa izin. Perusahaan menyatakan telah merilis perbaikan untuk mengatasi masalah tersebut.
Insiden ini pertama kali diungkap oleh media Bleeping Computer. Dalam laporannya, bug pada Microsoft 365 Copilot disebut dapat melewati kebijakan data loss prevention (DLP) organisasi, yaitu sistem keamanan yang dirancang untuk melindungi informasi sensitif.
Masalah tersebut dilaporkan berdampak spesifik pada fitur Copilot Chat. Mengacu pada dokumentasi Microsoft, e-mail yang memiliki label rahasia disebut “diproses secara keliru” oleh Microsoft 365 Copilot Chat. Bug ini dilacak secara internal dengan kode CW1226324 dan pertama kali terdeteksi pada 21 Januari. Menurut laporan Bleeping Computer, masalah itu memengaruhi fitur obrolan di “work tab”.
Dalam pemberitahuan resminya, Microsoft menjelaskan bahwa Copilot Chat secara keliru menarik dan merangkum e-mail dari folder Sent Items dan Drafts milik pengguna. Kondisi itu terjadi meski e-mail telah diberi label sensitivitas yang seharusnya mencegah akses otomatis. Akibatnya, e-mail dan informasi sensitif yang semestinya tidak dapat diakses justru ikut diproses oleh sistem.
Copilot Chat mulai digulirkan ke aplikasi Microsoft 365 seperti Word, Excel, Outlook, dan PowerPoint untuk pelanggan Enterprise sejak akhir tahun lalu. Fitur ini diposisikan sebagai asisten AI yang dapat memahami konteks konten, termasuk dokumen dan komunikasi kerja.
Namun, kemampuan tersebut juga menempatkan aspek pengamanan data sebagai hal krusial, terutama ketika sistem AI berinteraksi langsung dengan e-mail dan dokumen internal perusahaan. Dalam kondisi tertentu, penggunaan asisten AI di lingkungan kerja dinilai dapat memunculkan risiko seperti prompt injection dan pelanggaran kepatuhan data.
Microsoft menyatakan kepada Bleeping Computer bahwa insiden ini disebabkan oleh kesalahan kode. Perusahaan mengklaim sudah mulai meluncurkan perbaikan sejak awal Februari, serta terus memantau penerapan patch dan menghubungi sebagian pengguna yang terdampak.
