Vanaf 21 januari heeft de Copilot van Microsoft gedurende vier weken vertrouwelijke e-mails gelezen en verwerkt, ondanks alle gevoeligheidslabels en het DLP-beleid dat dit niet zou moeten gebeuren. De handhavingspunten braken binnen de eigen pijplijn van Microsoft, en geen enkel beveiligingshulpmiddel in de stapel markeerde dit. Onder de getroffen organisaties bevonden zich de Britse National Health Service, die het heeft geregistreerd als INC46740412 – een signaal van hoe ver de bug reikte tot gereguleerde gezondheidszorgomgevingen. Microsoft heeft het gevolgd als CW1226324.
Het advies, voor het eerst gerapporteerd door BleepingComputer op 18 februari is het de tweede keer in acht maanden dat de ophaalpijplijn van Copilot zijn eigen vertrouwensgrens overschrijdt – een bug waarbij een AI-systeem gegevens opent of verzendt waar het uitdrukkelijk niet aan mocht komen. De eerste was nog erger.
In juni 2025 heeft Microsoft een patch uitgebracht CVE-2025-32711een kritieke zero-click-kwetsbaarheid die onderzoekers van Aim Security ‘EchoLeak’ noemden. Eén kwaadaardige e-mail omzeilde de prompt injection-classifier van Copilot, de redactie van links, het Content-Security-Policy en de referentievermeldingen om in stilte bedrijfsgegevens te exfiltreren. Er waren geen klikken en geen actie van de gebruiker vereist. Microsoft heeft het een CVSS-score van 9,3.
Twee verschillende grondoorzaken; één blinde vlek: een codeerfout en een geavanceerde exploitketen leverden een identiek resultaat op. Copilot verwerkte gegevens, het mocht uitdrukkelijk niet worden aangeraakt, en de beveiligingsstack zag niets.
Waarom EDR en WAF hiervoor architectonisch blind blijven
Eindpuntdetectie en respons (EDR) bewaakt het gedrag van bestanden en processen. Webapplicatiefirewalls (WAF’s) inspecteren HTTP-payloads. Geen van hen heeft een registratiecategorie voor ‘uw AI-assistent heeft zojuist zijn eigen vertrouwensgrens overschreden’. Deze kloof bestaat omdat LLM-ophaalpijplijnen achter een handhavingslaag zitten waarvoor traditionele beveiligingstools nooit zijn ontworpen.
Copilot nam een gemarkeerde e-mail op, kreeg de opdracht deze over te slaan en de hele actie vond plaats binnen de infrastructuur van Microsoft. Tussen de ophaalindex en het generatiemodel. Er is niets op de schijf terechtgekomen, er is geen abnormaal verkeer over de perimeter gegaan en er is geen proces gecreëerd dat door een eindpuntagent kan worden gemarkeerd. De beveiligingsstack rapporteerde in het ongewisse omdat het nooit de laag zag waar de overtreding plaatsvond.
De CW1226324-bug werkte omdat een fout in het codepad het mogelijk maakte dat berichten in verzonden items en concepten in de herstelset van Copilot terechtkwamen, ondanks gevoeligheidslabels en DLP-regels die deze hadden moeten blokkeren, volgens het advies van Microsoft. EchoLeak werkte omdat de onderzoekers van Aim Security bewezen dat een kwaadaardige e-mail, die zo was geformuleerd dat deze op gewone zakelijke correspondentie leek, de door retrieval verbeterde generatiepijplijn van Copilot kon manipuleren om toegang te krijgen tot interne gegevens en deze naar een door een hacker bestuurde server te verzenden.
De onderzoekers van Aim Security karakteriseerden het als een fundamentele ontwerpfout: agenten verwerken vertrouwde en niet-vertrouwde gegevens in hetzelfde denkproces, waardoor ze structureel kwetsbaar worden voor manipulatie. Die ontwerpfout verdween niet toen Microsoft EchoLeak patchte. CW1226324 bewijst dat de handhavingsslag eromheen zelfstandig kan falen.
Vijfpuntsaudit die betrekking heeft op beide faalwijzen
Geen van de fouten heeft één enkel alarm veroorzaakt. Beide werden ontdekt via advieskanalen van leveranciers – niet via SIEM, niet via EDR, niet via WAF.
CW1226324 werd op 18 februari gepubliceerd. De getroffen huurders waren sinds 21 januari bekend gemaakt. Microsoft heeft niet gezegd hoeveel organisaties getroffen zijn of welke gegevens in dat venster zijn benaderd. Voor beveiligingsmanagers is dit gat het verhaal: een blootstelling van vier weken binnen de inferentiepijplijn van een leverancier, onzichtbaar voor elk hulpmiddel in de stapel, alleen ontdekt omdat Microsoft ervoor koos een advies uit te brengen.
1. Test DLP-handhaving rechtstreeks tegen Copilot. CW1226324 bestond vier weken omdat niemand testte of Copilot daadwerkelijk de gevoeligheidslabels op verzonden items en concepten respecteerde. Creëer gelabelde testberichten in gecontroleerde mappen, vraag Copilot en bevestig dat deze niet kan worden weergegeven. Voer deze test maandelijks uit. Configuratie is geen handhaving; het enige bewijs is een mislukte ophaalpoging.
2. Blokkeer dat externe inhoud het contextvenster van Copilot bereikt. EchoLeak slaagde daarin omdat een kwaadaardige e-mail de herstelsuite van Copilot binnenkwam en de geïnjecteerde instructies werden uitgevoerd alsof het de vraag van de gebruiker was. De aanval omzeilde vier verschillende verdedigingslagen: de cross-prompt-injectieclassificatie van Microsoft, het redigeren van externe links, controles op het inhoudsbeveiligingsbeleid en het verwijzen naar beveiligingsmaatregelen, aldus de openbaarmaking van Aim Security. Schakel externe e-mailcontext uit in de Copilot-instellingen en beperk de weergave van Markdown in AI-uitvoer. Dit vangt de klasse van bugs met snelle injectie op door het aanvalsoppervlak volledig te verwijderen.
3. Controleer Purview-logboeken op afwijkende Copilot-interacties in de blootstellingsperiode van januari tot februari. Zoek naar Copilot Chat-query’s die inhoud retourneerden uit getagde berichten tussen 21 januari en medio februari 2026. Geen van de foutklassen produceerde waarschuwingen via bestaande EDR of WAF, dus retrospectieve detectie is afhankelijk van Purview-telemetrie. Als uw huurder niet kan reconstrueren waartoe Copilot toegang heeft gehad tijdens de blootstellingsperiode, documenteer dit hiaat dan formeel. Dit heeft gevolgen voor de naleving. Voor elke organisatie die onderworpen is aan toezicht door de regelgeving, is een ongedocumenteerde AI-datatoegangskloof tijdens een bekende periode van kwetsbaarheid een auditbevinding die nog moet gebeuren.
4. Schakel Beperkt zoeken naar inhoud in voor SharePoint-sites met gevoelige gegevens. RCD verwijdert sites volledig uit de downloadpijplijn van Copilot. Het werkt ongeacht of de vertrouwensschending het gevolg is van een codefout of een geïnjecteerde prompt, omdat de gegevens überhaupt nooit in het contextvenster terechtkomen. Dit is de insluitingslaag die niet afhankelijk is van het handhavingspunt dat is gebroken. Voor organisaties die omgaan met gevoelige of gereguleerde gegevensRCD is niet optioneel.
5. Bouw een draaiboek voor incidentrespons voor door de leverancier gehoste beëindigingsfouten. Incident Response (IR)-playbooks hebben een nieuwe categorie nodig: schendingen van vertrouwensgrenzen binnen de pijplijn voor het sluiten van leveranciers. Definieer escalatiepaden. Eigendom toewijzen. Stel een monitoringfrequentie vast voor gezondheidszorgadviezen van leveranciers die van invloed zijn op de AI-behandeling. Uw SIEM vangt de volgende ook niet op.
Het patroon dat verder reikt dan Copilot
EEN Onderzoek uit 2026 door Cybersecurity Insiders ontdekte dat 47% van de CISO’s en senior beveiligingsmanagers al heeft waargenomen dat AI-agenten onbedoeld of ongeoorloofd gedrag vertonen. Organisaties zetten AI-assistenten sneller in de productie in dan dat ze er een bestuur omheen kunnen bouwen.
Dat pad is belangrijk omdat dit frame niet Copilot-specifiek is. Elke op RAG gebaseerde assistent die bedrijfsgegevens ophaalt, volgt hetzelfde patroon: een ophaallaag selecteert inhoud, een handhavingslaag porteert wat het model kan zien, en een generatielaag produceert uitvoer. Als de handhavingslaag faalt, stuurt de ophaallaag beperkte gegevens naar het model en ziet de beveiligingsstack deze nooit. Copilot, Gemini for Workspace en elke tool met toegang om interne documenten op te halen, lopen hetzelfde structurele risico.
Voer de vijfpuntenaudit uit vóór uw volgende bestuursvergadering. Begin met gelabelde testberichten in een gecontroleerde map. Als Copilot ze laat zien, is elk beleid hieronder theater.
Reactie van de Raad van Bestuur: “Ons beleid is correct geconfigureerd. De handhaving is mislukt in de pijplijn voor het afleiden van leveranciers. Hier zijn de vijf controles die we testen, beperken en vereisen voordat we de volledige toegang voor gevoelige workloads opnieuw inschakelen.”
Bij de volgende fout wordt geen waarschuwing verzonden.
