CW1226324 koduyla takip edilen bu güvenlik açığı, ilk olarak 21 Ocak 2026’da tespit edildi. Sorun, kullanıcıların ‘Gönderilmiş Öğeler’ ve ‘Taslaklar’ klasörlerinde bulunan ve gizlilik etiketleriyle korunan e-postaların, Copilot tarafından yetkisiz bir şekilde işlenmesine neden oluyor. Microsoft’un açıklamasına göre, DLP politikaları aktif olsa dahi bu mesajlar yapay zeka tarafından özetlenebiliyor.
Microsoft Copilot güvenlik açığı Neler Sunuyor?
Microsoft, güvenlik açığının kaynağını belirsiz bir kod hatası olarak tanımlarken, Şubat ayının başlarında bir düzeltme yayınlamaya başladı. Şirket, gönderilen öğeler ve taslak klasörlerindeki içeriklerin Copilot tarafından alınmasına izin veren bir kod sorunu olduğunu doğruladı. Düzeltmenin dağıtımının izlendiği ve etkilenen kullanıcılarla iletişime geçildiği belirtilse de, tam çözüm için henüz kesin bir tarih verilmedi. Bu durum, özellikle İngiltere Ulusal Sağlık Servisi (NHS) gibi gizli veri korumasının hayati önem taşıdığı sektörlerde endişe yaratıyor.
Güvenlik analistleri, ‘Gönderilmiş Öğeler’ klasörünün genellikle dışarıya gönderilen kurumsal yazışmaları içermesi nedeniyle bu güvenlik açığının son derece riskli olduğunu vurguluyor. İş anlaşmaları, yasal yazışmalar ve kişisel sağlık bilgileri gibi hassas verilerin sıklıkla ‘gizli’ olarak işaretlendiği düşünüldüğünde, olayın potansiyel etkileri daha da artıyor. Bu durum, şirketlerin yapay zeka destekli araçların veri yönetimi kontrollerine uyum sağlamakta karşılaştıkları zorlukları bir kez daha gözler önüne seriyor. Microsoft’un belgelerinde hassasiyet etiketlerinin Copilot’un erişimini kısıtlaması gerektiği belirtilse de, bu olay korumaların pratikte başarısız olabileceğini gösteriyor.
Yapay zeka asistanlarının kurumsal verilerle entegre çalışması iş süreçlerini hızlandırırken, beraberinde ciddi güvenlik risklerini de getirebileceğini unutmamak gerekiyor. Bu olay, yapay zeka araçlarına ne kadar güvenebileceğimiz ve hassas verilerimizi bu araçlarla paylaşırken nelere dikkat etmemiz gerektiği konusunda önemli bir uyarı niteliğinde. Kurumların ve bireylerin, yapay zeka kullanımında veri gizliliği ve güvenliğini ön planda tutmaları, olası riskleri minimize etmek açısından kritik önem taşıyor.
