Pesquisadores de segurança descobriram uma falha crítica no Microsoft 365 Copilot, assistente de IA integrado ao ecossistema da Microsoft, que pode expor dados confidenciais armazenados no Teams, SharePoint e OneDrive. A vulnerabilidade está relacionada à forma como o Copilot acessa e interpreta permissões de arquivos e conversas, permitindo que informações internas apareçam em respostas geradas pela IA — mesmo para usuários sem autorização formal de acesso.
Segundo o relatório divulgado, o problema ocorre quando o Copilot utiliza o mecanismo de busca interna para gerar respostas contextuais. Em casos específicos, o assistente ignora restrições de compartilhamento ou herda permissões incorretas, revelando documentos, mensagens e planilhas sensíveis. Isso representa um grande risco para empresas que lidam com dados estratégicos, jurídicos ou de clientes.
A Microsoft reconheceu o problema e afirmou estar trabalhando em uma atualização para ajustar os filtros de acesso. No entanto, especialistas alertam que falhas desse tipo são difíceis de detectar, já que envolvem o comportamento de sistemas de IA e não apenas vulnerabilidades tradicionais de código. Com o uso crescente de ferramentas generativas no ambiente corporativo, a governança de dados e o controle de permissões tornaram-se prioridades críticas.
Dica de prevenção:
Empresas que utilizam o Microsoft 365 Copilot devem revisar imediatamente as permissões de acesso e políticas de compartilhamento interno, além de limitar o escopo de atuação da IA em repositórios sensíveis. É essencial implementar auditorias regulares e pentests voltados à exposição de dados em ferramentas de IA corporativa. A integração segura entre produtividade e inteligência artificial requer planejamento e monitoramento constante.
A adoção de IA no ambiente corporativo traz ganhos reais, mas também novos riscos. Para garantir que sua empresa aproveite esses recursos com segurança, conheça as soluções da LC SEC em lcsec.io — especialistas em Pentest, Threat Intelligence com IA, Auditoria Interna, Conscientização e SGSI, protegendo dados e processos contra vulnerabilidades emergentes.
Compartilhe nas redes sociais:
