AI agentai skaito konfidencialius laiškus — kas vyksta? — IT Naujienos

„Microsoft Copilot“ savaitėmis skaitė konfidencialius el. laiškus, apeidamas apsaugos politikas. Okta perspėja — tai ne pavienė klaida, o sisteminė DI agentų autorizacijos spraga, kelianti grėsmę visoms įmonėms.

Kai DI pradeda skaityti tai, ko neturėtų

Vasario 18 dieną „Microsoft" patvirtino tai, ko daugelis IT administratorių labiausiai bijojo: „Copilot" dirbtinio intelekto asistentas savaitėmis skaitė ir apibendrindavo klientų konfidencialius el. laiškus, visiškai apeidamas duomenų apsaugos politikas. Tai ne teorinis scenarijus iš saugumo konferencijos — tai tikras incidentas, paveikęs mokančius verslo klientus.

Tačiau „Microsoft" klaida yra tik pradžia. Tą pačią savaitę „Okta" paskelbė išsamią analizę apie tai, ką vadina „DI agentų autorizacijos spraga" — sisteminę problemą, kuri liečia ne vieną produktą, o visą DI agentų ekosistemą. O Europos Parlamentas užblokavo DI įrankius parlamentarų darbo įrenginiuose. Žinutė aiški: DI agentai jau turi prieigą prie jautriausių mūsų duomenų, ir dabartiniai saugumo modeliai tam nėra pasiruošę.

„Microsoft Copilot" klaida: chronologija ir techninės detalės

Incidentas, sekamas kodu CW1226324, buvo aptiktas sausio 21 dieną. Klaida slypėjo „Microsoft 365 Copilot Chat" funkcijoje — „darbo" skirtuko pokalbyje, kuris netinkamai nuskaitydavo el. laiškus, saugomus „Outlook" aplankuose „Išsiųsti" ir „Juodraščiai". Net tuos, kurie buvo pažymėti konfidencialumo etiketėmis — specialiai sukurtomis apriboti automatizuotų įrankių prieigą.

Organizacijos investavo į duomenų praradimo prevencijos (DLP) politikas, nustatė jautrumo etiketes, sukonfigūravo prieigos kontrolę — ir visa tai buvo apeidama dėl vienos kodo klaidos.

„Microsoft" patvirtino, kad „kodo problema leido elementams išsiųstų laiškų ir juodraščių aplankuose būti nuskaitytiems „Copilot", nors buvo nustatytos konfidencialumo etiketės". Bendrovė tvirtina, kad klaida „nesuteikė niekam prieigos prie informacijos, prie kurios jie nebuvo autorizuoti" — tačiau tai skamba kaip švelninimas. Jei DI apibendrino konfidencialų el. laišką ir pateikė jo turinį pokalbio lange, tai jau yra duomenų nutekėjimas, net jei formaliai vartotojas turėjo teisę matyti originalą.

Taisymo diegimas prasidėjo vasario pradžioje, tačiau „Microsoft" nenurodė galutinio termino ir neatskleidė, kiek vartotojų ar organizacijų buvo paveikta.

Ne klaida, o sisteminė spraga

„Okta" saugumo tyrinėtojai vasarį paskelbė analizę, kuri „Microsoft" incidentą įrėmina į platesnį kontekstą. Problema vadinama „autorizacijos spraga" (angl. authorization gap) — ir ji liečia visus DI agentus, ne tik „Copilot".

Esmė tokia: DI agentas autentifikuojasi su vieno vartotojo teisėmis, bet rezultatus pateikia bendrose erdvėse, kur gavėjai turi skirtingus prieigos lygius. Kiekvienas žingsnis atskirai atrodo teisėtas. Tačiau galutinis efektas — duomenų nutekėjimas be jokio tradicinio pažeidimo.

„Okta" pateikia iškalbingą pavyzdį: finansų direktorius įdiegia DI agentą „Slack" kanale. Agentas autentifikuojasi su direktoriaus kredencialais ir gauna prieigą prie atlyginimų duomenų, valdybos medžiagos, HR sistemų. Kai jaunesnysis analitikas paklausia „Koks mūsų Q3 atlyginimų biudžetas?", agentas pateikia biudžeto skaičiuokles, kompensacijų planus ir vadovų atlyginimų sąrašus — tiesiai į kanalą, kur visi juos mato.

Ir čia svarbiausia: sistema niekada nepatikrino, ar gavėjai turi teisę matyti šiuos duomenis. Autorizacija buvo patikrinta tik gavimo, bet ne pateikimo metu.

Pažeidžiamumai ir statistika

„Okta" tyrimas atskleidžia 2025 metų pažeidžiamumus (CVSS 9.3–9.4), kurie demonstruoja tą patį modelį:

„Anthropic" „Slack" MCP — administratoriaus lygio agentai išviliojo failus per nuorodas
„Microsoft 365 Copilot" (EchoLeak) — „zero-click" atakos įterpė jautrius duomenis į URL
„ServiceNow" (BodySnatcher) — apsimetimas el. paštu aplenkė daugiafaktorę autentifikaciją
„Salesforce Agentforce" (ForcedLeak) — „prompt injection" per žiniatinklio formas sukėlė CRM duomenų nutekėjimą

Platesnė statistika dar iškalbingesnė. Pagal 2026 m. vasario apklausą, apimančią daugiau nei 900 vadovų ir techninių specialistų: 88 proc. organizacijų pranešė apie patvirtintus ar įtariamus DI agentų saugumo incidentus per pastaruosius metus. Sveikatos priežiūros sektoriuje šis skaičius siekia 92,7 proc. „McKinsey" tyrimai rodo, kad 80 proc. organizacijų jau susidūrė su rizikingu DI agentų elgesiu, įskaitant netinkamą duomenų atskleidimą.

Ir vis dėlto — tik 34 proc. įmonių turi specialias DI saugumo priemones, o mažiau nei 40 proc. reguliariai testuoja DI modelių ar agentų darbo eigas.

Europos Parlamentas jau reagavo

Europos Parlamento IT skyrius vasario viduryje užblokavo integruotas DI funkcijas parlamentarų darbo įrenginiuose, nurodydamas, kad jautri informacija gali patekti į JAV kompanijų serverius. Tai buvo atsargumo priemonė, priimta dar prieš „Microsoft" oficialiai patvirtinant „Copilot" klaidą — bet laikas simboliškas.

Kai viena didžiausių demokratinių institucijų pasaulyje nusprendžia, kad DI įrankiai kelia per didelę riziką net paprastam darbui su el. paštu — tai signalas, kurio nereikėtų ignoruoti.

Kas laimi, kas pralaimi?

Pralaimi: visos organizacijos, kurios skubėjo integruoti DI agentus į savo darbo eigas be rimtos saugumo peržiūros. „Microsoft Copilot" kaina — 30 USD per vartotoją per mėnesį. Daugelis įmonių investavo ne tik į prenumeratas, bet ir į mokymų programas, darbo eigų pertvarkymą. Dabar jos turi klausti savęs: ar mūsų DLP politikos iš tikrųjų veikia?

Laimi: tapatybės valdymo ir saugumo bendrovės — „Okta", „CrowdStrike", „WitnessAI". Kiekvienas toks incidentas yra argumentas jų produktams. „Okta" jau siūlo „Cross App Access" standartą, skirtą valdyti DI agentų prieigą prie programų per centralizuotą politiką.

Laimi ilguoju laikotarpiu: reguliavimo šalininkai. JAV federalinis registras 2026 m. sausį paskelbė prašymą informacijai apie DI agentų saugumo aspektus. Europa jau veikia. Klausimas ne ar bus griežtesnis reguliavimas, o kada.

Ką tai reiškia praktiškai?

Jei jūsų organizacija naudoja DI agentus — o tikimybė didelė, nes pagal „Gartner" prognozes 2026 m. juos naudos 75 proc. įmonių — reikia atsakyti į kelis klausimus:

Ar jūsų DI agentai turi mažiausių privilegijų prieigą? Jei agentas veikia su vadovo kredencialais, jis gali pasiekti viską, ką gali vadovas.
Ar tikrinate ne tik įvestį, bet ir išvestį? Autorizacija gavimo metu yra tik pusė sprendimo. Reikia tikrinti, kas matys rezultatą.
Ar turite „šešėlinio DI" stebėseną? 48 proc. kibernetinio saugumo specialistų įvardija DI agentus kaip pagrindinį atakų vektorių 2026 m., o darbuotojai diegia neautorizuotus DI įrankius be IT skyriaus žinios.

„Microsoft Copilot" klaida bus ištaisyta. Bet problema, kurią ji atskleidė, liks. DI agentai veikia su žmonių privilegijomis, priima sprendimus natūralios kalbos pagrindu ir pateikia rezultatus erdvėse, kurių autorizacijos niekas netikrina. Tai ne technologijos problema — tai architektūros problema. Ir kol ji nebus išspręsta sisteminiu lygiu, kiekvienas naujas DI agentas jūsų organizacijoje yra potencialus duomenų nutekėjimo kanalas.

„Microsoft Copilot“ klaida leido DI skaityti konfidencialius laiškus — problema sisteminė