Vanaf 21 januari heeft de Copilot van Microsoft vier weken lang vertrouwelijke e-mails gelezen en samengevat, ook al verbood elk gevoeligheidslabel en DLP-beleid dit. Het punt van handhaving vindt plaats binnen de eigen kanalen van Microsoft, en er zijn geen beveiligingstools in de stapel die dit kunnen markeren. Tot de getroffen organisaties behoren de Britse National Health Service, die het registreert als INC46740412 – een signaal van hoe ver het land tekortschiet in de gereguleerde gezondheidszorgomgeving. Microsoft volgt het als CW1226324.
Adviseur, voor het eerst gerapporteerd door BleepingComputer op 18 februari, wat de tweede keer in acht maanden was dat de ophaallijn van Copilot zijn eigen vertrouwensgrenzen schond – een mislukking die ervoor zorgde dat het AI-systeem toegang kreeg tot gegevens of gegevens kon verzenden waarvan het expliciet verboden was deze aan te raken. De eerste is erger.
In juni 2025 heeft Microsoft het gepatcht CVE-2025-32711een kritieke zero-click-kwetsbaarheid die onderzoekers van Aim Security ‘EchoLeak’ noemden. Eén kwaadwillige e-mail omzeilde de snelle injectie-classificator van Copilot, de redactie van links, het Content Security Policy en de vermeldingen van het in het geheim extraheren van bedrijfsgegevens. Er zijn geen gebruikersklikken of acties vereist. Microsoft heeft hem een CVSS-score 9,3.
Twee verschillende grondoorzaken; één blinde vlek: codefouten en geavanceerde exploitketens leveren dezelfde resultaten op. Copilot verwerkt gegevens waarvan het expliciet verboden is om deze aan te raken, en de beveiligingsstack ziet niets.
Waarom blijven EDR’s en WAF’s hier architectonisch blind voor?
Eindpuntdetectie en respons (EDR) bewaakt het gedrag van bestanden en processen. Een webapplicatiefirewall (WAF) controleert de HTTP-payload. Er is geen detectiecategorie voor ‘uw AI-assistent heeft zojuist zijn eigen vertrouwensgrenzen geschonden’. Deze hiaten bestaan omdat het LLM-instroompad achter een laag van wetshandhaving zit waar traditionele beveiligingsinstrumenten nooit voor ontworpen zijn.
Copilot neemt gelabelde e-mails op die moeten worden overgeslagen, en de hele actie vindt plaats binnen de infrastructuur van Microsoft. Tussen ophaalindex en generatiemodel. Er valt niets op de schijf, er passeert geen afwijkend verkeer en er lijken geen processen te zijn gemarkeerd door de eindpuntagent. De beveiligingsstack rapporteert alles als veilig omdat hij nooit de laag ziet waar de inbreuk heeft plaatsgevonden.
Bug CW1226324 werkt omdat een codepadfout ervoor zorgt dat berichten in Sent Items en Drafts de opnameset van Copilot kunnen binnendringen, ondanks gevoeligheidslabels en DLP-regels die ze zouden moeten blokkeren, volgens het advies van Microsoft. EchoLeak was succesvol omdat onderzoekers van Aim Security bewezen dat kwaadaardige e-mails, geformuleerd om eruit te zien als normale zakelijke correspondentie, de verbeterde generatie ophaalpaden van Copilot konden manipuleren om toegang te krijgen tot interne gegevens en deze naar door aanvallers gecontroleerde servers te verzenden.
Doel Beveiligingsonderzoekers karakteriseren het als een fundamentele ontwerpfout: agenten verwerken vertrouwde en niet-vertrouwde gegevens in hetzelfde denkproces, waardoor ze structureel kwetsbaar worden voor manipulatie. Deze ontwerpfout verdween niet toen Microsoft EchoLeak patchte. CW1226324 bewijst dat de omringende handhavingslagen onafhankelijk van elkaar kunnen falen.
Een vijfpuntenaudit die beide faalwijzen in kaart brengt
Geen enkele fout heeft tot één waarschuwing geleid. Beide worden ontdekt via advieskanalen van leveranciers – niet via SIEM, niet via EDR, niet via WAF.
CW1226324 werd op 18 februari openbaar gemaakt. Getroffen tenants zijn sinds 21 januari blootgesteld. Microsoft heeft niet bekendgemaakt hoeveel organisaties getroffen zijn of welke gegevens gedurende de periode zijn benaderd. Voor beveiligingsleiders is de kloof een verhaal: een blootstelling van vier weken binnen de inferentiepijplijn van een leverancier, onzichtbaar voor elk hulpmiddel in de stapel, alleen ontdekt omdat Microsoft ervoor koos een advies te publiceren.
1. Test DLP-handhaving tegen Copilot live. CW1226324 bestond vier weken omdat niemand testte of Copilot daadwerkelijk gevoeligheidslabels toepaste op verzonden items en concepten. Maak een gelabeld testbericht in een gecontroleerde map, vraag het aan Copilot en bevestig dat het het niet kan weergeven. Voer deze test elke maand uit. Configuratie is geen handhaving; het enige bewijs is een mislukte ophaalpoging.
2. Blokkeer dat externe inhoud het Copilot-contextvenster bereikt. EchoLeak was succesvol omdat de kwaadaardige e-mail de opnameset van Copilot binnenkwam en de ingevoerde instructies werden uitgevoerd alsof het gebruikersverzoeken waren. De aanval omzeilt vier verschillende verdedigingslagen: Microsoft’s cross-prompt injection classifier, redactie van externe links, controles op het Content Security Policy en vermeldingsbescherming, volgens de Aim Security-openbaarmaking. Schakel externe e-mailcontext uit in de Copilot-instellingen en beperk de weergave van prijsverlagingen in AI-uitvoer. Hiermee worden snelle fouten in de injectieklasse vastgelegd door het aanvalsoppervlak volledig te elimineren.
3. Tijdens de Purview-audit werden abnormale Copilot-interacties opgemerkt tijdens de blootstellingsperiode van januari tot februari. Search Copilot Chat-query’s retourneren de inhoud van berichten die zijn gelabeld tussen 21 januari en medio februari 2026. Er bestaan geen foutklassen die waarschuwingen genereren via EDR of WAF, dus retrospectieve detectie is afhankelijk van Azure Purview-telemetrie. Als uw huurder niet kan reconstrueren waartoe Copilot toegang heeft gehad tijdens de blootstellingsperiode, documenteer dan formeel het gat. Dit is van belang voor de naleving. Voor elke organisatie die onderworpen is aan toezicht door de regelgeving, is een ongedocumenteerde AI-datatoegangskloof tijdens een bekende kwetsbaarheidsperiode een auditbevinding die nog moet gebeuren.
4. Schakel Beperkte Content Discovery in voor SharePoint-sites met gevoelige gegevens. RCD verwijdert de hele locatie van het ophaalpad van Copilot. Dit werkt ongeacht of de vertrouwensschending afkomstig is van een codefout of een geïnjecteerde opdracht, omdat de gegevens überhaupt nooit in het contextvenster terechtkomen. Dit is een insluitingslaag die onafhankelijk is van het handhavingspunt dat wordt overschreden. Voor organisaties die omgaan met gevoelige of gereguleerde gegevensRCD is niet optioneel.
5. Stel richtlijnen voor incidentrespons op voor door de leverancier gehoste gevolgtrekkingsfouten. Het incidentrespons (IR)-playbook vereist een nieuwe categorie: schendingen van vertrouwensgrenzen binnen de inferentiepijplijn van een leverancier. Bepaal escalatiepaden. Eigendom toewijzen. Stel een monitoringcadans in voor suggesties voor de servicestatus van leveranciers die van invloed zijn op de AI-verwerking. Uw SIEM zal de volgende ook niet opvangen.
Overgedragen patronen reiken verder dan Copilot
A Onderzoek uit 2026 door Cybersecurity Insiders ontdekte dat 47% van de CISO’s en senior beveiligingsleiders heeft waargenomen dat AI-agenten ongewenst of ongeoorloofd gedrag vertoonden. Organisaties zetten AI-assistenten sneller in de productie dan dat ze er governance omheen kunnen bouwen.
Deze trajecten zijn belangrijk omdat dit raamwerk niet specifiek is voor Copilot. Elke op RAG gebaseerde assistent die bedrijfsgegevens ophaalt, doorloopt hetzelfde patroon: de ophaallaag selecteert de inhoud, de handhavingslaag bepaalt wat het model kan zien, en de generatielaag produceert de uitvoer. Als de handhavingslaag faalt, stuurt de ophaallaag de beperkte gegevens naar het model, en de beveiligingsstack ziet deze nooit. Copilot, Gemini for Workspace en elke tool met ophaaltoegang tot interne documenten hebben dezelfde structurele risico’s.
Voer vóór uw volgende bestuursvergadering een vijfpuntenaudit uit. Begin met een gelabeld testbericht in een gecontroleerde map. Als Copilot het ter sprake brengt, is elk beleid daaronder theater.
Het bestuur antwoordde: “Ons beleid is correct geconfigureerd. Het afdwingen mislukt binnen de pijplijn voor leveranciersinferentie. Hier zijn vijf controles die we testen, beperken en afdwingen voordat we de volledige toegang voor gevoelige workloads opnieuw inschakelen.”
Bij daaropvolgende fouten wordt geen waarschuwing verzonden.
