Durante quatro semanas, a partir de 21 de janeiro, o Copilot da Microsoft leu e resumiu e-mails confidenciais, apesar de todos os rótulos de confidencialidade e políticas de DLP dizerem para não fazê-lo. Os pontos de aplicação quebraram o pipeline da própria Microsoft e nenhuma ferramenta de segurança na pilha os sinalizou. Entre as organizações afetadas estava o Serviço Nacional de Saúde do Reino Unido, que o registou como INC46740412 – um sinal de até que ponto a falha atingiu os ambientes regulamentados de saúde. A Microsoft o rastreou como CW1226324. O comunicado, relatado pela primeira vez pelo BleepingComputer em 18 de fevereiro, marca a segunda vez em oito meses que o pipeline de recuperação do Copilot violou seu próprio limite de confiança – uma falha na qual um sistema de IA acessa ou transmite dados que foi explicitamente impedido de tocar. O primeiro foi pior. Em junho de 2025, a Microsoft corrigiu CVE-2025-32711, uma vulnerabilidade crítica de zero clique que os pesquisadores da Aim Security apelidaram de “EchoLeak”. Um e-mail malicioso contornou o classificador de injeção imediata do Copilot, sua redação de link, sua política de segurança de conteúdo e suas menções de referência para exfiltrar silenciosamente dados corporativos. Nenhum clique e nenhuma ação do usuário foram necessários. A Microsoft atribuiu-lhe uma pontuação CVSS de 9,3. Duas causas raízes diferentes; um ponto cego: um erro de código e uma cadeia de exploração sofisticada produziram um resultado idêntico. O Copilot processou dados que foram explicitamente proibidos de tocar e a pilha de segurança não viu nada. Por que EDR e WAF continuam arquitetonicamente cegos para isso A detecção e resposta de endpoint (EDR) monitora o comportamento de arquivos e processos. Os firewalls de aplicativos da Web (WAFs) inspecionam cargas HTTP. Também não existe uma categoria de detecção para “seu assistente de IA acabou de violar seu próprio limite de confiança”. Essa lacuna existe porque os pipelines de recuperação de LLM ficam atrás de uma camada de aplicação que as ferramentas de segurança tradicionais nunca foram projetadas para observar. O Copilot ingeriu um e-mail rotulado que foi instruído a ignorar, e toda a ação aconteceu dentro da infraestrutura da Microsoft. Entre o índice de recuperação e o modelo de geração. Nada foi descartado no disco, nenhum tráfego anômalo cruzou o perímetro e nenhum processo foi gerado para um agente de endpoint sinalizar. A pilha de segurança relatou tudo limpo porque nunca viu a camada onde ocorreu a violação. O bug CW1226324 funcionou porque um erro de caminho de código permitiu que mensagens em Itens Enviados e Rascunhos entrassem no conjunto de recuperação do Copilot, apesar dos rótulos de confidencialidade e regras DLP que deveriam tê-los bloqueado, de acordo com o comunicado da Microsoft. O EchoLeak funcionou porque os pesquisadores da Aim Security provaram que um e-mail malicioso, redigido para parecer uma correspondência comercial comum, poderia manipular o pipeline de geração de recuperação aumentada do Copilot para acessar e transmitir dados internos para um servidor controlado pelo invasor. Os pesquisadores da Aim Security caracterizaram isso como uma falha fundamental de design: os agentes processam dados confiáveis ​​e não confiáveis ​​no mesmo processo de pensamento, tornando-os estruturalmente vulneráveis ​​à manipulação. Essa falha de design não desapareceu quando a Microsoft corrigiu o EchoLeak. CW1226324 prova que a camada de aplicação em torno dele pode falhar de forma independente. A auditoria de cinco pontos que mapeia ambos os modos de falha Nenhuma das falhas desencadeou um único alerta. Ambos foram descobertos por meio de canais de consultoria de fornecedores – não por meio de SIEM, nem por meio de EDR, nem por meio de WAF. CW1226324 tornou-se público em 18 de fevereiro. Os locatários afetados foram expostos desde 21 de janeiro. A Microsoft não divulgou quantas organizações foram afetadas ou quais dados foram acessados ​​durante essa janela. Para os líderes de segurança, essa lacuna é a história: uma exposição de quatro semanas dentro do pipeline de inferência de um fornecedor, invisível para todas as ferramentas da pilha, descoberta apenas porque a Microsoft decidiu publicar um comunicado. 1. Teste a aplicação de DLP diretamente no Copilot. O CW1226324 existiu por quatro semanas porque ninguém testou se o Copilot realmente respeitava os rótulos de confidencialidade em itens enviados e rascunhos. Crie mensagens de teste rotuladas em pastas controladas, consulte o Copilot e confirme se ele não pode exibi-las. Execute este teste mensalmente. Configuração não é imposição; a única prova é uma tentativa fracassada de recuperação. 2. Impedir que conteúdo externo chegue à janela de contexto do Copilot. O EchoLeak foi bem-sucedido porque um e-mail malicioso entrou no conjunto de recuperação do Copilot e suas instruções injetadas foram executadas como se fossem a consulta do usuário. O ataque contornou quatro camadas de defesa distintas: classificador de injeção de prompt cruzado da Microsoft, redação de link externo, controles de política de segurança de conteúdo e salvaguardas de menção de referência, de acordo com a divulgação da Aim Security. Desative o contexto de e-mail externo nas configurações do Copilot e restrinja a renderização de Markdown nas saídas de IA. Isso detecta a classe de falha da injeção imediata, removendo totalmente a superfície de ataque. 3. Logs de Auditoria para interações anômalas do Copilot durante a janela de exposição de janeiro a fevereiro. Procure consultas do Copilot Chat que devolveram conteúdo de mensagens etiquetadas entre 21 de janeiro e meados de fevereiro de 2026. Nenhuma das classes de falha produziu alertas através do EDR ou WAF existente, pelo que a deteção retrospetiva depende da telemetria do Purview. Se o seu locatário não conseguir reconstruir o que o Copilot acessou durante a janela de exposição, documente essa lacuna formalmente. É importante para a conformidade. Para qualquer organização sujeita a exame regulamentar, uma lacuna não documentada no acesso a dados de IA durante uma janela de vulnerabilidade conhecida é uma descoberta de auditoria à espera de acontecer. 4. Ative a descoberta de conteúdo restrito para sites do SharePoint com dados confidenciais. O RCD remove totalmente os sites do pipeline de recuperação do

OpenClaw, o agente de IA de código aberto que se destaca em tarefas autônomas em computadores e com o qual os usuários podem

Ouça o artigo 3 minutos Este áudio é gerado automaticamente. Por favor, deixe-nos saber se você tiver comentários. Resumo de mergulho: O mercado

Nos últimos três meses, o Gemini 3 Pro do Google manteve-se como um dos modelos de fronteira mais capazes disponíveis. Mas no mundo

Os agentes construídos com base nos modelos atuais geralmente quebram com mudanças simples — uma nova biblioteca, uma modificação no fluxo de trabalho

Ouça o artigo 4 minutos Este áudio é gerado automaticamente. Por favor, deixe-nos saber se você tiver comentários. Ritz está ampliando ainda mais

A Anthropic lançou na terça-feira o Claude Sonnet 4.6, um modelo que equivale a um evento de reprecificação sísmica para a indústria de

Ouça o artigo 3 minutos Este áudio é gerado automaticamente. Por favor, deixe-nos saber se você tiver comentários. O Publicis Groupe aumentou a

A lacuna entre as ameaças de ransomware e as defesas destinadas a detê-las está piorando, e não melhorando. O Relatório sobre o estado