شرکت Microsoft اعلام کرد که در ابزار هوش مصنوعی سازمانی خود، Microsoft 365 Copilot Chat، یک خطای پیکربندی رخ داده که باعث شده برخی ایمیلهای دارای برچسب «محرمانه» بهاشتباه پردازش و خلاصهسازی شوند. این خطای Copilot مایکروسافت نگرانیهایی درباره امنیت دادهها، سیاستهای حفاظت اطلاعات در محیطهای سازمانی ایجاد کرده است. با این حال، شرکت تأکید کرده که مشکل از طریق یک بهروزرسانی جهانی برطرف شده است.
جزئیات خطای Copilot مایکروسافت در Outlook
بر اساس اعلام رسمی، این خطا در ابزار سازمانی Microsoft 365 Copilot Chat مشاهده شد. بهدلیل یک اشتباه پیکربندی، برخی ایمیلها در پوشههای «پیشنویس» و «ارسالشده» در Outlook که دارای برچسب confidential بودند، توسط Copilot خلاصه شدند.
این در حالی است که طراحی سیستم بهگونهای انجام شده بود تا محتوای دارای برچسب حفاظتی، خارج از دسترس موتور پردازش Copilot باقی بماند. شرکت اعلام کرد اگرچه کنترلهای دسترسی و سیاستهای حفاظت داده نقض نشدهاند، اما این رفتار با اصول طراحی امنیتی همخوانی نداشته است.
آیا دادههای کاربران در معرض خطر قرار گرفت؟
طبق گزارش منتشرشده توسط رسانه BBC، سخنگوی مایکروسافت تأکید کرد که Copilot به محتوایی خارج از سطح دسترسی کاربران دست نیافته است. به بیان دیگر، هیچ کاربری به اطلاعاتی فراتر از مجوزهای خود دسترسی پیدا نکرده است.
با این وجود، همین پردازش ناخواسته ایمیلهای محرمانه، برای بسیاری از سازمانها زنگ خطر امنیتی محسوب میشود. بهویژه در محیطهایی که استانداردهای سختگیرانه انطباق داده اجرا میشود.
پردازش اشتباه محتوای حساس و سیاستهای DLP
وبسایت فناوری Bleeping Computer گزارش داد که Copilot Chat در برخی موارد حتی ایمیلهایی را پردازش کرده که دارای برچسب حساسیت و سیاستهای جلوگیری از نشت داده (DLP) بودهاند.
براساس این گزارش، در بخش «Work» ابزار Copilot، برخی ایمیلهای موجود در پوشههای پیشنویس و ارسالشده خلاصه شدهاند. این موضوع نشان میدهد که مکانیزمهای اعمال برچسب حساسیت بهطور کامل مانع پردازش هوش مصنوعی نشدهاند.
گفته میشود مایکروسافت در ماه ژانویه از این مشکل آگاه شده، علت اصلی را یک «خطای کدنویسی» اعلام کرده است.
تأثیر خطای Copilot بر سیستم سلامت NHS
این خطا حتی در سامانه پشتیبانی کارکنان سلامت انگلستان نیز ثبت شده است. سازمان NHS England اعلام کرد که ایمیلهای پردازششده توسط Copilot خارج از حسابهای کاربری منتشر نشدهاند، هیچ دادهای از بیماران افشا نشده است.
با وجود این توضیحات، مطرح شدن نام یک نهاد درمانی در چنین رویدادی نشان میدهد که ابزارهای هوش مصنوعی سازمانی تا چه اندازه باید تحت نظارت دقیق امنیتی قرار داشته باشند.
هشدار کارشناسان درباره ریسک ابزارهای هوش مصنوعی سازمانی
کارشناسان امنیت سایبری معتقدند گسترش سریع قابلیتهای تولیدی هوش مصنوعی، ریسک بروز خطاهای مشابه را افزایش میدهد. هرچند این ابزارها معمولاً با لایههای متعدد امنیتی عرضه میشوند، اما پیچیدگی فنی آنها احتمال بروز باگهای ناخواسته را بالا میبرد.
دیدگاه تحلیلگران امنیت سایبری
- Nader Henein، تحلیلگر شرکت Gartner، تأکید کرد که با عرضه سریع قابلیتهای پیچیده هوش مصنوعی، بروز چنین خطاهایی «اجتنابناپذیر» است.
- Prof. Alan Woodward، استاد امنیت سایبری در دانشگاه University of Surrey، پیشنهاد کرد این ابزارها بهصورت پیشفرض غیرفعال باشند، کاربران در صورت نیاز آنها را فعال کنند. او هشدار داد که حتی بدون نیت سوء، نشت دادهها رخ خواهد داد.
واکنش نهایی مایکروسافت به خطای Copilot
مایکروسافت اعلام کرده که یک بهروزرسانی پیکربندی جهانی برای مشتریان سازمانی منتشر شده است. طبق اعلام شرکت، اکنون سیستم مطابق با اهداف طراحی اولیه عمل میکند، محتوای دارای برچسب حفاظتی خارج از دسترس پردازش هوش مصنوعی باقی میماند.
با این حال، خطای Copilot مایکروسافت بار دیگر اهمیت ممیزی امنیتی مداوم، تستهای نفوذ، ارزیابی دقیق انطباق در ابزارهای هوش مصنوعی سازمانی را یادآوری میکند.
جمعبندی: آینده امنیت در ابزارهای هوش مصنوعی سازمانی
ماجرای خطای Copilot مایکروسافت نشان داد حتی شرکتهای بزرگ فناوری نیز از ریسکهای فنی مصون نیستند. توسعه سریع قابلیتهای هوش مصنوعی باید همزمان با چارچوبهای سختگیرانه امنیت اطلاعات پیش برود.
برای سازمانهایی که از راهکارهای هوش مصنوعی در مدیریت ایمیل، تحلیل داده، اتوماسیون فرایند استفاده میکنند، بازبینی سیاستهای DLP، کنترل دسترسی، ممیزی لاگها یک ضرورت است، نه یک انتخاب.
اقدام پیشنهادی
اگر در سازمان خود از ابزارهای هوش مصنوعی مانند Copilot استفاده میکنید، همین امروز سیاستهای امنیتی را بازبینی کنید، تجربه خود را در بخش نظرات با ما به اشتراک بگذارید.
