Αναγνώριση Πέντε Κινδύνων Ασφαλείας του Microsoft 365 Copilot από την Gartner
Η Gartner έχει επισημάνει πέντε σημαντικούς κινδύνους ασφαλείας που συνδέονται με το Microsoft 365 Copilot, οι οποίοι παρουσιάστηκαν σε σύνοδο κορυφής στο Σίδνεϊ. Οι κίνδυνοι αυτοί περιλαμβάνουν την υπερβολική κοινοποίηση, την έγχυση προτροπών και την χαλαρή αξιολόγηση των εργαζομένων. Ο αντιπρόεδρος της Gartner, Dennis Xu, παρουσίασε τις ανησυχίες του σε μια ομιλία με τίτλο “Μετριασμός των Πέντε Κορυφαίων Κινδύνων Ασφαλείας του Microsoft 365 Copilot” στο Gartner’s Security & Risk Management Summit στις 17 Μαρτίου. Οι προειδοποιήσεις του έρχονται καθώς έχουν διορθωθεί πολλαπλές ευπάθειες του Copilot, συμπεριλαμβανομένου του CVE-2026-26133, τις τελευταίες εβδομάδες.
Το Πρόβλημα της Υπερβολικής Κοινοποίησης και η Ανάγκη Ελέγχου Πρόσβασης
Ο Xu αφιέρωσε τα πρώτα 20 λεπτά της ομιλίας του στην υπερβολική κοινοποίηση στο SharePoint, καθιστώντας το το κυρίαρχο θέμα της συνεδρίας. Το Copilot μπορεί να αναζητήσει δεδομένα σε ιστότοπους SharePoint, οι οποίοι βασίζονται σε δύο επικαλυπτόμενα εργαλεία ελέγχου πρόσβασης: ετικέτες και λίστα ελέγχου πρόσβασης. Και τα δύο είναι ευάλωτα σε ανθρώπινα λάθη που επιτρέπουν ακούσια πρόσβαση σε ευαίσθητα έγγραφα. Παρόλα αυτά, η υπερβολική κοινοποίηση δεν είναι νέο πρόβλημα, αλλά ένα που ενισχύεται από την τεχνητή νοημοσύνη. Η Microsoft προσφέρει ένα εργαλείο που μπορεί να εφαρμόσει μια υπερισχύουσα λίστα ελέγχου πρόσβασης και αυτόματη ανίχνευση υπερβολικά κοινοποιημένου περιεχομένου, αλλά ο Xu συνέστησε στις οργανώσεις να παρακολουθούν επίσης τους χρήστες για πρόσβαση σε περιορισμένο περιεχόμενο.
Προκλήσεις στην Ασφάλεια και η Ανάγκη για Συστημική Διαχείριση
Η ασφάλεια του Copilot έχει προσελκύσει συνεχή προσοχή. Τον Ιανουάριο, ένα σφάλμα έγχυσης προτροπών μετέτρεψε το Copilot σε εργαλείο κλοπής δεδομένων με ένα μόνο κλικ. Τον Οκτώβριο του 2025, ένα πλέον διορθωμένο σφάλμα του Copilot επέτρεψε την εξαγωγή δεδομένων μέσω διαγραμμάτων. Πέρα από την υπερβολική κοινοποίηση, οι δεύτεροι και τέταρτοι κίνδυνοι του Xu εστιάζουν στην έγχυση προτροπών και την απομακρυσμένη εκτέλεση κώδικα. Κακόβουλες προτροπές μπορούν να επιχειρήσουν έγχυση κώδικα, και οι οργανώσεις που ενθαρρύνουν τους εργαζομένους να πειραματίζονται με την τεχνητή νοημοσύνη μπορεί ακούσια να εκτεθούν σε επιθέσεις.
Έκθεση Δεδομένων και Τοξική Παραγωγή
Εν τω μεταξύ, οι υπόλοιποι κίνδυνοι του Xu ολοκληρώνουν την ταξινόμηση με την έκθεση ευαίσθητων δεδομένων μέσω εφαρμογών τρίτων και την τοξική παραγωγή. Το Copilot μπορεί να εμφανίσει ευαίσθητα δεδομένα όταν οι χρήστες το συνδέουν με εφαρμογές SaaS τρίτων, και ενώ το πρόσθετο εφαρμογών τρίτων είναι απενεργοποιημένο από προεπιλογή, το πρόσθετο περιεχομένου ιστού είναι ενεργοποιημένο. Ερευνητές ασφαλείας έχουν δείξει ευπάθειες του Copilot στο Black Hat 2024, συμπεριλαμβανομένης της αυτοματοποίησης phishing και της εξαγωγής δεδομένων.
Συμπεράσματα και Προτροπή για Δράση
Συνολικά, η ταξινόμηση των πέντε κινδύνων του Xu παρουσιάζει την ασφάλεια του Copilot όχι ως μια σειρά απομονωμένων σφαλμάτων αλλά ως μια συστημική πρόκληση διακυβέρνησης. Κάθε κατηγορία ευπάθειας ενισχύει τις άλλες: τα υπερβολικά κοινοποιημένα έγγραφα γίνονται πιο επικίνδυνα όταν η έγχυση προτροπών μπορεί να τα εξάγει, και η τοξική παραγωγή γίνεται πιο επικίνδυνη όταν οι εργαζόμενοι παραλείπουν την αξιολόγηση. Η Microsoft δεν έχει σχολιάσει τις συστάσεις του Xu αλλά έχει ασχοληθεί με τη διακυβέρνηση του Copilot. Στις 13 Μαρτίου, η Microsoft φιλοξένησε ένα πάνελ διακυβέρνησης με τίτλο “Από τον Κίνδυνο στην Ετοιμότητα” που καλύπτει τη διαχείριση κινδύνων του Copilot και την ασφαλή ανάπτυξη. Για τα εκατομμύρια των επιχειρηματικών χρηστών που βασίζονται καθημερινά στο Copilot, το ερώτημα είναι αν η Microsoft μπορεί να κλείσει αυτά τα κενά πιο γρήγορα από ό,τι οι επιτιθέμενοι μπορούν να βρουν νέα.
