Bug Microsoft 365 Copilot Ringkas Email Rahasia, Lewati Kebijakan DLP
Microsoft mengonfirmasi adanya bug pada Microsoft 365 Copilot yang menyebabkan asisten AI tersebut merangkum email berlabel rahasia sejak akhir Januari 2026. Masalah ini dilaporkan melewati kebijakan Data Loss Prevention (DLP) yang biasa digunakan organisasi untuk melindungi informasi sensitif.
Insiden ini dilacak dengan ID CW1226324 dan pertama kali terdeteksi pada 21 Januari.
Fitur Chat “Work Tab” Terdampak
Bug ini memengaruhi fitur Copilot “work tab” chat, yang secara keliru membaca dan merangkum email yang tersimpan di folder Sent Items dan Drafts milik pengguna.
Yang menjadi perhatian, email-email tersebut telah diberi label sensitivitas atau confidential label yang secara eksplisit dirancang untuk membatasi akses, termasuk oleh alat otomatis seperti AI.
Microsoft 365 Copilot Chat merupakan fitur percakapan berbasis AI yang terintegrasi dengan Word, Excel, PowerPoint, Outlook, dan OneNote untuk pelanggan bisnis berbayar. Fitur ini mulai digulirkan secara luas pada September 2025.
Dalam pemberitahuan layanannya, Microsoft menyatakan bahwa pesan email dengan label confidential tetap diproses oleh Copilot Chat meskipun kebijakan DLP telah dikonfigurasi untuk mencegahnya.
Penyebab dan Status Perbaikan
Microsoft menyebut adanya kesalahan kode yang memungkinkan item di folder Draft dan Sent Items terdeteksi oleh Copilot meski label kerahasiaan telah diterapkan.
Perusahaan mulai menggulirkan perbaikan pada awal Februari dan menyatakan masih memantau implementasi pembaruan tersebut. Microsoft juga menghubungi sebagian pengguna terdampak untuk memastikan perbaikan berjalan efektif.
Hingga kini, Microsoft belum mengungkap jumlah pengguna atau organisasi yang terdampak. Perusahaan juga belum memberikan jadwal pasti untuk penyelesaian penuh, meski insiden ini dikategorikan sebagai advisory—yang biasanya menunjukkan cakupan dampak terbatas.
Klarifikasi Microsoft
Dalam pembaruan lanjutan, Microsoft menjelaskan bahwa meskipun Copilot Chat dapat menampilkan ringkasan dari email berlabel rahasia yang dibuat oleh pengguna dan disimpan di folder Draft atau Sent Items, tidak ada akses tambahan yang diberikan kepada pihak yang tidak berwenang.
Menurut perusahaan, kontrol akses dan kebijakan perlindungan data tetap berfungsi sebagaimana mestinya. Namun, perilaku tersebut tidak sesuai dengan pengalaman Copilot yang dirancang untuk mengecualikan konten yang dilindungi dari akses AI.
Microsoft menyatakan bahwa pembaruan konfigurasi telah diterapkan secara global untuk pelanggan enterprise guna mengatasi masalah ini.
Insiden ini menyoroti tantangan dalam integrasi AI generatif dengan sistem keamanan perusahaan, terutama ketika fitur otomatis harus beroperasi selaras dengan kebijakan perlindungan data yang ketat.
