Copilot leste e-poster som skulle vært beskyttet

Microsoft bekrefter at en feil i Microsoft 365 Copilot Chat gjorde det mulig for AI-chatboten å hente frem og oppsummere e-poster merket som konfidensielle — uten at de gjeldende databeskyttelsesreglene ble respektert. Det melder TechCrunch.

Feilen rammet den såkalte «work tab»-funksjonen i Copilot Chat, som er designet for å lese og analysere innhold på tvers av Microsoft 365-apper som Outlook, Word og Excel. Mens innboksen var beskyttet, var mapper for sendte meldinger og utkast — inkludert trådede e-postsvar — sårbare.

Slo direkte mot bedriftenes styringskontroller

For virksomheter som bruker Microsoft 365 som plattform for sensitiv kommunikasjon, er tilliten til at DLP-policyer og sensitivitetsetiketter faktisk fungerer, helt grunnleggende. Feilen svekket nettopp den tilliten.

Ifølge TechCrunch understreker Microsoft i en offisiell uttalelse at feilen ikke ga noen tilgang til informasjon de ellers ikke ville hatt autorisasjon til å se — men at Copilot altså returnerte innhold som etter selskapets egne regler skulle vært utelatt fra AI-behandling.

Vi identifiserte og utbedret et problem der Microsoft 365 Copilot Chat kunne returnere innhold fra e-poster merket som konfidensielle — dette ga ingen tilgang til informasjon de ikke allerede var autorisert til å se.

Det er verdt å merke seg at Microsofts klassifisering av hendelsen som et «advisory» — fremfor et fullskala sikkerhetsbrudd — indikerer begrenset omfang. Likevel er konsekvensene av at AI-systemer omgår sikkerhetslagene som bedrifter eksplisitt har satt opp, potensielt alvorlige.

Microsoft-feil eksponerte konfidensielle e-poster for Copilot AI

Microsoft ruller ut global fiks

Microsoft opplyser at selskapet begynte å distribuere en konfigurasjonsoppdatering til bedriftskunder over hele verden i begynnelsen av februar, og at rotårsaken skal være adressert per 20. februar 2026. Selskapet fortsetter å overvåke situasjonen og kontakter berørte kommersielle kunder direkte.

Samtidig nekter Microsoft å opplyse om hvor mange organisasjoner eller enkeltpersoner som ble berørt. En talsperson har ifølge TechCrunch avvist å kommentere omfanget av skaden.

Microsoft vil ikke si hvor mange kunder som ble rammet — men full utbedring skal være på plass innen 24. februar.
Microsoft-feil eksponerte konfidensielle e-poster for Copilot AI

Bredt bakteppe: AI og datahåndtering under press

Hendelsen inntreffer i en periode der AI-verktøyers omgang med sensitive bedriftsdata er under økende granskning. Ifølge Microsofts eget Data Security Index for 2026 er generativ AI involvert i 32 prosent av organisasjoners datahendelser, mens 47 prosent av virksomhetene nå har innført AI-spesifikke sikkerhetskontroller — opp åtte prosentpoeng fra 2025.

Europeisk skepsis til skybaserte AI-verktøy illustreres av at Europaparlamentet nylig blokkerte AI-verktøy på sine enheter, nettopp på grunn av bekymringer knyttet til dataopplasting til skyen.

For helsesektoren er problemstillingen særlig akutt. Dersom helsedata havner i AI-systemer uten tilstrekkelige juridiske rammeverk som BAA (Business Associate Agreement), kan det utgjøre brudd på HIPAA-regelverket — med krav om varsling og potensielle sanksjoner som konsekvens.

Ingen tilsvarende hendelser bekreftet hos konkurrentene

Det foreligger per i dag ingen bekreftede sikkerhetshendelser av tilsvarende art knyttet til Google Gemini eller OpenAIs ChatGPT i de tilgjengelige kildene. En direkte sammenligning er derfor ikke mulig å gjøre på et forsvarlig grunnlag.

Microsoft-feilen er foreløpig den eneste dokumenterte hendelsen av denne typen blant de store AI-aktørene i bedriftsmarkedet — noe som gir saken ekstra tyngde i debatten om hvor klare enterprise-AI-plattformene egentlig er til å håndtere kritisk forretningsinformasjon.