21 जानेवारीपासून सुरू होणाऱ्या चार आठवड्यांपर्यंत, Microsoft च्या Copilot सॉफ्टवेअरने सर्व संवेदनशीलतेची चिन्हे आणि DLP धोरण असे न करण्याचा सल्ला देऊनही गोपनीय ईमेल वाचले आणि सारांशित केले. एक्झिक्युशन पॉइंट मायक्रोसॉफ्टच्या स्वतःच्या पाइपलाइनमध्ये तुटले आणि स्टॅकमधील कोणत्याही सुरक्षा साधनाने त्यांना ध्वजांकित केले नाही. प्रभावित झालेल्या संस्थांमध्ये यूकेची राष्ट्रीय आरोग्य सेवा होती, ज्याने ती INC46740412 म्हणून नोंदणीकृत केली – हे बिघाड नियमन केलेल्या आरोग्यसेवा वातावरणात किती पोहोचले आहे याचे संकेत. मायक्रोसॉफ्टने त्याचा CW1226324 म्हणून मागोवा घेतला आहे.
BleepingComputer द्वारे 18 फेब्रुवारी रोजी प्रथम अहवाल दिलेला सल्लागार, आठ महिन्यांत दुसऱ्यांदा कोपायलटच्या पुनर्प्राप्ती पाइपलाइनने त्याच्या विश्वासाच्या सीमांचे उल्लंघन केल्याचे चिन्हांकित केले आहे – एक अपयश ज्यामध्ये AI प्रणाली डेटामध्ये प्रवेश करते किंवा प्रसारित करते ज्याला स्पर्श करण्यापासून स्पष्टपणे प्रतिबंधित करण्यात आले होते. पहिला वाईट होता.
जून 2025 मध्ये, मायक्रोसॉफ्टने CVE-2025-32711 पॅच केले, ज्याला Aim सुरक्षा संशोधकांनी “EchoLeak” असे नाव दिलेली एक गंभीर नो-क्लिक भेद्यता आहे. एका दुर्भावनापूर्ण ईमेलने कोपायलटचे तात्काळ इंजेक्शन वर्गीकरण साधन, त्याचे लिंक रिडेक्शन, त्याचे सामग्री सुरक्षा धोरण आणि एंटरप्राइझ डेटा शांतपणे फिल्टर करण्याचा अधिकार यांना मागे टाकले. वापरकर्त्याच्या बाजूने कोणतेही क्लिक किंवा कोणतीही क्रिया आवश्यक नव्हती. मायक्रोसॉफ्टने त्याला 9.3 चा CVSS स्कोअर दिला.
दोन भिन्न मूळ कारणे; एक ब्लाइंड स्पॉट: कोडमधील एक बग आणि एक जटिल शोषण साखळी यामुळे समान परिणाम झाला. सह-पायलटने डेटावर प्रक्रिया केली ज्याला स्पर्श करण्यास स्पष्टपणे मनाई होती आणि सुरक्षा पॅकेजमध्ये काहीही दिसले नाही.
EDR आणि WAF कडे वास्तुशास्त्रीयदृष्ट्या दुर्लक्ष का केले जाते?
एंडपॉइंट डिटेक्शन अँड रिस्पॉन्स (EDR) फाइल आणि प्रक्रियेच्या वर्तनाचे निरीक्षण करते. वेब ऍप्लिकेशन फायरवॉल (WAFs) HTTP पेलोड्सची तपासणी करतात. “तुमच्या AI सहाय्यकाने नुकतेच स्वतःच्या विश्वासाच्या सीमांचे उल्लंघन केले आहे” अशी डिटेक्शन श्रेणी त्यांच्यापैकी कोणाचीही नाही. हे अंतर अस्तित्त्वात आहे कारण LLM पुनर्प्राप्ती ओळी एका अंमलबजावणी स्तराच्या मागे आहेत ज्याचे परीक्षण करण्यासाठी पारंपारिक सुरक्षा साधने कधीही डिझाइन केलेली नाहीत.
कोपायलटने एक वर्गीकृत ईमेल अंतर्भूत केला जो वगळण्यास सांगितले होते आणि संपूर्ण प्रक्रिया मायक्रोसॉफ्टच्या पायाभूत सुविधांमध्ये झाली. पुनर्प्राप्ती निर्देशांक आणि पिढी मॉडेल दरम्यान. डिस्कवर काहीही टाकले गेले नाही, कोणतीही असामान्य रहदारी परिमिती ओलांडली नाही आणि एंडपॉईंट एजंटला अहवाल देण्यासाठी कोणतीही प्रक्रिया तयार केली गेली नाही. सुरक्षा स्टॅकने अहवाल दिला की तो पूर्णपणे रिकामा आहे कारण ज्या ठिकाणी उल्लंघन झाले आहे तो स्तर त्याने कधीही पाहिला नाही.
बग CW1226324 यशस्वी झाला कारण कोड पथ त्रुटीने पाठवलेल्या आयटम्स आणि ड्राफ्ट्समधील संदेशांना संवेदनशीलता लेबले आणि DLP नियम असूनही त्यांना कोपायलट पुनर्प्राप्ती सेटमध्ये प्रवेश करण्यास अनुमती दिली ज्याने त्यांना प्रतिबंधित केले असावे, Microsoft सल्लागारानुसार. EchoLeak यशस्वी झाले कारण Aim सुरक्षा संशोधकांनी दाखवून दिले की दुर्भावनापूर्ण ईमेल, सामान्य व्यावसायिक पत्रव्यवहारासारखे दिसण्यासाठी तयार केलेले, अंतर्गत डेटा ऍक्सेस करण्यासाठी आणि आक्रमणकर्त्या-नियंत्रित सर्व्हरवर हलविण्यासाठी Copilot च्या वर्धित पुनर्प्राप्ती जनरेशन पाइपलाइनमध्ये फेरफार करू शकतात.
एम सिक्युरिटीच्या संशोधकांनी याचे वर्णन मूलभूत डिझाइन त्रुटी म्हणून केले आहे: एजंट एकाच विचार प्रक्रियेत विश्वासार्ह आणि अविश्वासू डेटावर प्रक्रिया करतात, ज्यामुळे त्यांना हाताळणीसाठी संरचनात्मकदृष्ट्या असुरक्षित बनते. जेव्हा मायक्रोसॉफ्टने इकोलीक पॅच केले तेव्हा डिझाइनमधील हा दोष दूर झाला नाही. CW1226324 हे सिद्ध करते की त्याच्या सभोवतालचा अंमलबजावणी स्तर स्वतंत्रपणे अयशस्वी होऊ शकतो.
पाच-पॉइंट चेक जे दोन्ही अपयश मोड ओळखतात
कोणत्याही अपयशाने एकच इशारा दिला नाही. दोन्ही पुरवठादार सल्लागार चॅनेलद्वारे शोधले गेले – SIEM द्वारे नाही, EDR द्वारे नाही आणि WAF द्वारे नाही.
CW1226324 18 फेब्रुवारी रोजी सार्वजनिक झाले. 21 जानेवारीपासून प्रभावित भाडेकरूंचा खुलासा करण्यात आला आहे. मायक्रोसॉफ्टने प्रभावित संस्थांची संख्या किंवा त्या विंडो दरम्यान प्रवेश केलेला डेटा उघड केला नाही. सुरक्षा नेत्यांसाठी, हे अंतर एक कथा आहे: विक्रेत्याच्या अनुमान पाइपलाइनच्या आत चार आठवड्यांचे एक्सपोजर, स्टॅकमधील प्रत्येक साधनासाठी अदृश्य, केवळ मायक्रोसॉफ्टने सल्लागार तैनात करणे निवडले म्हणून शोधले.
1. DLP अर्जाची थेट Copilot वर चाचणी करा. CW1226324 सुमारे चार आठवड्यांपासून आहे कारण कोपायलटने सबमिट केलेल्या वस्तू आणि मसुद्यांवर खरोखर संवेदनशीलता लेबल्सचा आदर केला आहे की नाही याची कोणीही चाचणी केली नाही. नियंत्रित फोल्डर्समध्ये वर्गीकृत केलेले चाचणी संदेश तयार करा, Copilot वर क्वेरी करा आणि ते ते पाहू शकत नाहीत याची खात्री करा. ही चाचणी दरमहा करा. कॉन्फिगरेशन म्हणजे अंमलबजावणी नाही; एकच पुरावा अयशस्वी पुनर्प्राप्तीचा प्रयत्न आहे.
2. बाह्य सामग्रीला Copilot संदर्भ विंडोमध्ये प्रवेश करण्यापासून प्रतिबंधित करा. EchoLeak यशस्वी झाले कारण दुर्भावनापूर्ण ईमेलने Copilot च्या रिकव्हरी सूटमध्ये प्रवेश केला आणि त्याच्या इंजेक्ट केलेल्या सूचना जणू काही वापरकर्ता क्वेरी असल्याप्रमाणे अंमलात आणल्या गेल्या. हल्ल्याने संरक्षणाच्या चार भिन्न स्तरांना मागे टाकले: मायक्रोसॉफ्टचे इन्स्टंट इंजेक्शन क्लासिफायर, बाह्य दुवा सुधारणे, सामग्री सुरक्षा धोरण नियंत्रणे आणि बुकमार्किंग सेफगार्ड्स, Aim Security प्रकटीकरणानुसार. Copilot सेटिंग्जमध्ये बाह्य ईमेल संदर्भ अक्षम करा आणि AI आउटपुटमध्ये मार्कडाउन डिस्प्ले प्रतिबंधित करा. हे संपूर्ण अटॅक पृष्ठभाग काढून टाकून त्वरित इंजेक्शन अयशस्वी वर्ग शोधते.
3. जानेवारी-फेब्रुवारी एक्सपोजर कालावधी दरम्यान बेरकी सहपायलट परस्परसंवादाचे ऑडिट मिशन रेकॉर्ड. 21 जानेवारी ते फेब्रुवारी 2026 च्या दरम्यान क्लासिफाइड मेसेजमधून सामग्री परत करणाऱ्या Copilot चॅट क्वेरी शोधा. कोणत्याही अपयश श्रेणीने विद्यमान EDR किंवा WAF द्वारे सूचना व्युत्पन्न केल्या नाहीत, त्यामुळे पूर्वलक्षी शोध Purview टेलिमेट्रीवर अवलंबून आहे. जर भाडेकरू व्ह्यूइंग विंडो दरम्यान कॉपायलटची पुनर्बांधणी करू शकत नसाल, तर या अंतराचे औपचारिक दस्तऐवजीकरण करा. अनुपालन महत्त्वाचे. नियामक छाननीच्या अधीन असलेल्या कोणत्याही संस्थेसाठी, ज्ञात असुरक्षिततेच्या कालावधीत AI डेटाच्या प्रवेशामध्ये एक अदस्तांकित अंतर हे एक ऑडिट शोध आहे जे घडण्याची प्रतीक्षा करत आहे.
4. संवेदनशील डेटा असलेल्या SharePoint साइटसाठी प्रतिबंधित सामग्री शोध चालू करा. RCD Copilot च्या संपूर्ण पुनर्प्राप्ती पाइपलाइनमधून साइट काढून टाकते. ट्रस्टचे उल्लंघन प्रोग्रामिंग बग किंवा इंजेक्टेड व्हेक्टरमधून आले आहे की नाही याची पर्वा न करता ते कार्य करते, कारण डेटा प्रथम स्थानावर संदर्भ विंडोमध्ये प्रवेश करत नाही. हा कंटेनमेंट लेयर आहे जो अंमलबजावणीचा कोणता बिंदू तोडला यावर अवलंबून नाही. संवेदनशील किंवा संरचित डेटा हाताळणाऱ्या संस्थांसाठीRCD पर्यायी नाही.
5. विक्रेता-होस्ट केलेल्या अनुमान अपयशांसाठी घटना प्रतिसाद मार्गदर्शक तयार करा. इन्सिडेंट रिस्पॉन्स (IR) पुराव्यासाठी नवीन श्रेणी आवश्यक आहे: संसाधनाच्या अनुमान मार्गामध्ये विश्वास सीमा उल्लंघन. वाढीचे मार्ग निश्चित करा. मालकी सेट करा. एआय प्रक्रियेवर परिणाम करणाऱ्या विक्रेता सेवा आरोग्य मार्गदर्शक तत्त्वांसाठी मॉनिटरिंग कॅडन्स स्थापित करा. तुमची SIEM सेवा देखील पुढील तिकीट काढू शकणार नाही.
सह-पायलटच्या पलीकडे जाणारी शैली
2026 च्या सायबर सिक्युरिटी इनसाइडर्स सर्वेक्षणात असे आढळून आले आहे की 47% आयटी व्यवस्थापक आणि वरिष्ठ सुरक्षा नेत्यांनी आधीच एआय एजंट्स अनपेक्षित किंवा अनधिकृत वर्तनाचे प्रदर्शन करत असल्याचे निरीक्षण केले आहे. संस्था AI सहाय्यकांना त्यांच्या सभोवतालचे शासन तयार करू शकतील त्यापेक्षा वेगाने उत्पादनात तैनात करत आहेत.
हा मार्ग महत्त्वाचा आहे कारण ही फ्रेम को-पायलटसाठी विशिष्ट नाही. एंटरप्राइझ डेटामधून खेचणारा कोणताही RAG-आधारित सहाय्यक त्याच पॅटर्नद्वारे कार्य करतो: एक पुनर्प्राप्ती स्तर जो सामग्री निवडतो, एक अंमलबजावणी स्तर जो मॉडेल काय पाहू शकतो हे निर्धारित करतो आणि एक जनरेशन स्तर जो आउटपुट तयार करतो. अंमलबजावणीचा स्तर अयशस्वी झाल्यास, पुनर्प्राप्ती स्तर मॉडेलला बंधनकारक डेटा फीड करतो आणि सुरक्षा स्टॅक कधीही पाहणार नाही. Copilot, Gemini for Workspace आणि अंतर्गत दस्तऐवजांमध्ये प्रवेश असलेले कोणतेही साधन समान संरचनात्मक जोखीम बाळगतात.
तुमच्या पुढील बोर्ड बैठकीपूर्वी पाच-पॉइंट ऑडिट करा. नियंत्रित फोल्डरमध्ये वर्गीकृत केलेल्या चाचणी संदेशांसह प्रारंभ करा. सह-वैमानिकाने ते दाखविल्यास, खाली असलेली प्रत्येक पॉलिसी एक नाटक असेल.
बोर्ड प्रतिसाद देतो: “आमची धोरणे योग्यरितीने कॉन्फिगर केली आहेत. संसाधनाच्या निष्कर्ष मार्गामध्ये अंमलबजावणी अयशस्वी झाली. संवेदनशील वर्कलोडसाठी पूर्ण प्रवेश पुन्हा सक्षम करण्यापूर्वी आम्ही चाचणी, प्रतिबंधित आणि आवश्यक असलेली पाच नियंत्रणे येथे आहेत.”
पुढील अपयश अलर्ट पाठवणार नाही.
