Copilot прочитал “Confidential”: чему учит баг Microsoft 365 Copilot и как не утечь данными, используя ИИ
В офисных ИИ-инструментах есть опасная ловушка: ощущение, что “если стоит метка Confidential и включён DLP — значит, всё под контролем”. На этой неделе Microsoft фактически показала, почему это ощущение может быть ложным.
По сообщениям ряда изданий, из-за ошибки в Microsoft 365 Copilot Chat ИИ мог обрабатывать и пересказывать письма, помеченные метками конфиденциальности, несмотря на настройки, которые должны были это блокировать.
И это не история “про корпорации где-то там”. Это история про нас с вами — про то, что гигиена данных в эпоху ИИ становится такой же базовой привычкой, как ремень безопасности.
Что именно произошло
Ключевые детали, которые повторяются в источниках:
- проблема затрагивала Copilot Chat, в частности сценарий/вкладку “Work”;
- ИИ мог подхватывать письма из Drafts и Sent Items (черновики и отправленные), даже если на них стояли sensitivity labels и организации полагались на DLP-политики;
- Microsoft связала это с ошибкой в коде и начала раскатку исправления в начале февраля; событие фигурировало в уведомлениях админам как CW1226324;
- число затронутых клиентов публично не раскрывалось.
Важно: в материалах также подчёркивается, что речь не обязательно про “утечку наружу к посторонним людям”, а про непредусмотренную обработку конфиденциального контента самим Copilot вопреки ожидаемым ограничениям.
Почему это важнее, чем кажется
Потому что у офисного ИИ есть две уязвимости, которые не лечатся “просто поставим галочку”:
1) «Доверие к ярлыкам» вместо реального контроля
Метку Confidential мы воспринимаем как шлагбаум. Но ИИ-функции — это цепочка: где лежит файл/письмо, кто имеет доступ, как работает индекс/поиск, какие политики применяются именно к этому месту хранения и именно к этому режиму Copilot.
Показательно, что буквально 24 февраля 2026 появились новости о расширении контролей (DLP-ограничений) для Copilot в большем числе сценариев хранения — это выглядит как реакция на системную “дырку в границах”, а не единичный сбой.
2) «Случайная утечка» чаще происходит из-за людей, а не из-за хакеров
Даже если у вендора всё идеально, остаётся “человеческий канал”: вставили письмо целиком, отправили коммерческие условия, скинули персональные данные “чтобы ИИ красиво сформулировал”.
Эта зона риска настолько типовая, что у крупных вендоров по безопасности уже есть отдельные гайды и практики именно про GenAI data leakage.
Практика «ИИ без утечек»: 3 уровня защиты (можно внедрить сегодня)
Сделайте это правилом, как “перед отправкой письма проверить адресата”.
Уровень 1. Текст: токенизация вместо реальных данных
Заменяйте чувствительные куски на маркеры:
- [КЛИЕНТ_1] вместо названия компании
- [СУММА_X] вместо цифр
- [ДОГОВОР_2026_02] вместо номера договора
- [SKU/АРТИКУЛ] вместо списка товаров
Принцип: ИИ должен помочь со структурой и формулировками, но не видеть первичные секреты.
Уровень 2. Контекст: “минимально достаточное”
Не вставляйте весь тред. Вставляйте 3–7 строк сути:
- что хочет собеседник
- что вы можете/не можете
- что нужно согласовать
- тон общения
Уровень 3. Выход: проверка перед отправкой
Всегда просите у ИИ финальный чек:
- “Есть ли тут данные, которые нельзя отправлять?”
- “Есть ли двусмысленные формулировки?”
- “Что можно перефразировать безопаснее?”
Быстрый чек-лист перед тем, как «скормить» ИИ письмо/документ
Если хотя бы на один вопрос ответ “да” — редактируем/токенизируем:
- Есть ли тут персональные данные?
- Есть ли цены/скидки/маржа/коммерческие условия?
- Есть ли названия контрагентов, поставщиков, брендов до запуска?
- Есть ли внутренняя кухня: KPI, уязвимости, конфликтные места?
- Это может повлиять на переговорную позицию, если “всплывёт”?
Что делать команде/руководителю
Если вы отвечаете за процесс, а не за одно письмо:
- заведите две зоны: “можно в ИИ” и “нельзя в ИИ”;
- дайте людям готовый шаблон промпта (см. ниже), чтобы они не импровизировали;
- договоритесь о простом правиле: важные письма → человеческая проверка 2 минуты;
- зафиксируйте, какие инструменты разрешены (чтобы снизить “shadow AI”).
Промпт дня (прикладная ситуация: «нужно ответить клиенту/коллеге, не раскрывая лишнего»)
Скопируйте и используйте как стандарт компании/команды:
Ты — редактор деловой переписки и офицер по конфиденциальности.
Вход: - Черновик письма: [вставь] - Что нельзя раскрывать: [имена/суммы/условия/внутренние процессы/поставщики] - Цель письма: [вставь] - Допустимый тон: [нейтрально/дружелюбно/жёстко по делу]
Сделай: 1) Перепиши письмо так, чтобы цель сохранилась, но запретные данные не угадывались. 2) Если в тексте есть риск “раскрыть лишнее” — замени на безопасные формулировки. 3) Добавь 2 универсальные фразы, если собеседник попросит “уточнить детали” (без раскрытия). 4) Дай короткий отчёт: какие места были рискованными и как ты их обезопасил.
Формат: - Финальная версия письма - Отчёт пунктами (до 6 пунктов)
ИИ в офисе — это ускоритель. Но ускоритель усиливает и пользу, и ошибку. История с Copilot — хороший повод перестать надеяться на “волшебные ярлыки” и внедрить привычку: минимум данных → чёткая задача → проверка выхода.