Microsoft melaporkan adanya celah keamanan atau bug pada asisten kecerdasan buatan (AI) Copilot yang memungkinkan sistem membaca email berlabel rahasia tanpa izin. Masalah ini berdampak spesifik pada fitur Copilot Chat di lingkungan kerja Microsoft 365 dan telah dikonfirmasi oleh pihak perusahaan.
Detail Temuan Bug CW1226324
Insiden keamanan ini pertama kali diungkap oleh media Bleeping Computer. Bug yang dilacak secara internal dengan kode CW1226324 tersebut pertama kali terdeteksi pada 21 Januari. Celah ini diketahui mampu melewati kebijakan Data Loss Prevention (DLP) organisasi, yakni sistem keamanan yang dirancang untuk melindungi informasi sensitif perusahaan.
Dampak pada Fitur Copilot Chat
Berdasarkan dokumentasi resmi Microsoft, bug ini menyebabkan fitur Copilot Chat pada work tab secara keliru menarik dan merangkum email dari folder Sent Items dan Drafts milik pengguna. Hal ini tetap terjadi meskipun email tersebut telah diberi label sensitivitas yang seharusnya mencegah akses otomatis oleh sistem AI.
Kondisi tersebut mengakibatkan informasi sensitif yang seharusnya bersifat rahasia justru ikut diproses oleh sistem. Copilot Chat sendiri merupakan asisten AI yang digulirkan untuk pelanggan Enterprise pada aplikasi seperti Word, Excel, Outlook, dan PowerPoint sejak akhir tahun lalu.
Risiko Keamanan AI di Lingkungan Kerja
Kemampuan Copilot dalam memahami konteks konten dan komunikasi kerja dinilai rentan jika aspek pengamanan data tidak berjalan optimal. Perusahaan yang mengadopsi asisten AI di lingkungan kerja berpotensi menghadapi ancaman serius, di antaranya:
- Prompt injection yang dapat memanipulasi output AI.
- Pelanggaran kepatuhan data internal.
- Kebocoran informasi rahasia melalui ringkasan otomatis.
Langkah Perbaikan dari Microsoft
Microsoft mengonfirmasi bahwa insiden ini disebabkan oleh kesalahan kode pada sistem mereka. Sebagai langkah penanganan, perusahaan mengeklaim telah mulai meluncurkan perbaikan atau patch sejak awal Februari lalu untuk menutup celah keamanan tersebut.
Selain merilis perbaikan, Microsoft menyatakan terus memantau penerapan pembaruan sistem dan telah menghubungi sebagian pengguna yang terdampak secara langsung. Langkah ini diambil untuk memastikan integritas data pengguna tetap terjaga pasca-insiden tersebut.
Informasi lengkap mengenai penanganan bug ini disampaikan melalui pernyataan resmi Microsoft yang dirilis melalui saluran komunikasi teknis perusahaan pada Februari 2026.