Principais destaques
- Bug no Microsoft 365 Copilot Chat ignorou rótulos de confidencialidade em e-mails
- Mensagens nas pastas Itens Enviados e Rascunhos foram resumidas indevidamente
- Microsoft iniciou correção, mas ainda monitora impacto completo
A Microsoft confirmou nesta semana uma falha no Microsoft 365 Copilot Chat que permitiu ao assistente de inteligência artificial acessar e resumir e-mails classificados como confidenciais.
O problema desconsiderou políticas de prevenção contra perda de dados, conhecidas como DLP, que são usadas por empresas para proteger informações sensíveis.
O caso veio a público após alerta divulgado pelo BleepingComputer, que teve acesso a um comunicado interno da empresa. A vulnerabilidade foi registrada sob o código CW1226324 e identificada inicialmente em 21 de janeiro de 2026.
Como o erro afetou os usuários
O problema atingiu especificamente o recurso de chat da chamada aba de trabalho do Copilot. Segundo a própria Microsoft, o sistema processou incorretamente mensagens armazenadas nas pastas Itens Enviados e Rascunhos, mesmo quando esses e-mails possuíam rótulos de sensibilidade aplicados.
Esses rótulos são utilizados para restringir o acesso automatizado a determinados conteúdos. Na prática, o Copilot deveria bloquear a leitura e o resumo dessas mensagens. No entanto, o erro no código permitiu que o assistente ignorasse essas barreiras.
Em nota, a empresa reconheceu que mensagens protegidas estavam sendo resumidas mesmo com políticas de DLP devidamente configuradas.
Correção em andamento e monitoramento
A Microsoft atribuiu a falha a um problema técnico no código do sistema. A implementação da correção começou no início de fevereiro, e a companhia informou que segue acompanhando o processo de atualização.
Além disso, um grupo específico de usuários afetados está sendo contatado para confirmar se a solução aplicada está funcionando conforme o esperado. Até o momento, não há prazo oficial para a conclusão total da correção.
O episódio também foi repercutido pelo portal The Register, que destacou que o alerta chegou inclusive a canais de suporte do sistema público de saúde do Reino Unido, ampliando a preocupação em setores altamente sensíveis.
Impacto ainda não foi totalmente dimensionado
A Microsoft não divulgou quantas organizações ou usuários foram afetados. A empresa classificou o incidente como um aviso, categoria geralmente associada a problemas de alcance limitado. Ainda assim, especialistas em segurança avaliam que o risco é significativo.
A pasta Itens Enviados costuma armazenar comunicações externas da empresa, incluindo contratos, acordos comerciais, informações jurídicas e dados de saúde. Ou seja, exatamente o tipo de material que deveria permanecer fora do alcance de sistemas automatizados.
O caso reacende o debate sobre os desafios de governança em ferramentas baseadas em IA. Embora a documentação oficial indique que o Copilot respeita rótulos de confidencialidade, o episódio mostra que falhas técnicas podem comprometer essas garantias na prática.
