Vanaf 21 januari las en vatte Microsoft Co-Pilot vier weken lang vertrouwelijke e-mails samen, ondanks dat elk privacylabel en DLP-beleid hem opdroeg dat niet te doen. De handhavingspunten vonden plaats binnen de pijplijn van Microsoft en geen enkele beveiligingstool in de stapel meldde dit. Onder de getroffen organisaties bevond zich de Britse National Health Service, die het heeft geregistreerd als INC46740412 – een teken van hoe ver het falen is gevorderd in de gereguleerde gezondheidszorgomgevingen. Microsoft heeft het gevolgd als CW1226324.
Het adviesbureau, voor het eerst gerapporteerd door BleepingComputer op 18 februari is het de tweede keer in acht maanden dat de herstelpijplijn van Copilot de vertrouwensgrens heeft geschonden: een mislukking waarbij een AI-systeem gegevens opent of verzendt waarvan het expliciet niet mocht aanraken. De eerste was nog erger.
In juni 2025 heeft Microsoft de patch toegepast CVE-2025-32711een kritieke zero-click-kwetsbaarheid die onderzoekers van Aim Security ‘EchoLeak’ hebben genoemd. Een kwaadaardige e-mail omzeilde de prompt injection-classifier van Copilot, het redigeren van links, het inhoudsbeveiligingsbeleid en referentiereferenties om stilletjes bedrijfsgegevens te exfiltreren. Er waren geen klikken of gebruikersactie vereist. Microsoft gaf het een CVSS-score van 9,3.
Twee verschillende grondoorzaken; een blinde vlek: een codefout en een uitgekiende reeks exploits leverden een identiek resultaat op. De co-piloot verwerkte gegevens die hem uitdrukkelijk niet mochten aanraken, en de safety stack zag niets.
Omdat EDR en WAF hiervoor architectonisch blind blijven
Endpoint Detection and Response (EDR) bewaakt het gedrag van bestanden en processen. Webapplicatiefirewalls (WAF’s) inspecteren HTTP-payloads. Er is ook geen detectiecategorie voor ‘uw AI-assistent heeft zojuist zijn vertrouwensgrens geschonden’. Deze kloof bestaat omdat LLM-herstelpijplijnen zich achter een applicatielaag bevinden waarvoor traditionele beveiligingstools nooit zijn ontworpen.
Copilot importeerde een gelabelde e-mail die moest worden genegeerd, en de hele actie vond plaats binnen de infrastructuur van Microsoft. Tussen de herstelindex en het generatiemodel. Er werd niets naar de schijf overgebracht, er passeerde geen afwijkend verkeer en er werden geen processen voortgebracht die door een eindpuntagent moesten worden gemarkeerd. De beveiligingsstack gaf groen licht omdat zij nooit het niveau had gezien waarop de inbreuk plaatsvond.
Bug CW1226324 werkte omdat een fout in het codepad ervoor zorgde dat berichten in Sent en Drafts in de herstelset van Copilot terechtkwamen, ondanks gevoeligheidslabels en DLP-regels die ze hadden moeten blokkeren, aldus het advies van Microsoft. EchoLeak werkte omdat onderzoekers van Aim Security aantoonden dat een kwaadaardige e-mail, geformuleerd om op gewone zakelijke correspondentie te lijken, de herstelpijplijn van Copilot kon manipuleren om toegang te krijgen tot interne gegevens en deze te verzenden naar een server die wordt beheerd door de aanvaller.
Doel Beveiligingsonderzoekers karakteriseerden het als een fundamentele ontwerpfout: Agenten verwerken vertrouwde en onbetrouwbare gegevens in hetzelfde denkproces, waardoor ze structureel kwetsbaar zijn voor manipulatie. Die ontwerpfout verdween niet toen Microsoft EchoLeak patchte. CW1226324 laat zien dat de applicatielaag eromheen zelfstandig kan falen.
De vijfpuntenaudit die beide faalwijzen in kaart brengt
Geen van beide fouten leidde tot één enkele waarschuwing. Beide werden ontdekt via advieskanalen van leveranciers, niet via SIEM, niet via EDR, niet via WAF.
CW1226324 werd op 18 februari openbaar gemaakt. De getroffen huurders waren sinds 21 januari gemeld. Microsoft heeft niet bekendgemaakt hoeveel organisaties getroffen zijn of welke gegevens in die periode zijn geraadpleegd. Voor beveiligingsleiders is dit gat het verhaal: een blootstelling van vier weken binnen de inferentiepijplijn van een leverancier, onzichtbaar voor elk hulpmiddel in de stapel, alleen ontdekt omdat Microsoft ervoor koos een advies uit te brengen.
1. Test uw DLP-applicatie rechtstreeks op Copilot. CW1226324 bestond vier weken omdat niemand controleerde of Copilot daadwerkelijk de gevoeligheidslabels op ingediende items en concepten respecteerde. Maak gelabelde testberichten in gecontroleerde mappen, vraag Copilot en bevestig dat deze niet kunnen worden gezien. Voer deze test maandelijks uit. Configuratie is geen applicatie; het enige bewijs is een mislukte herstelpoging.
2. Voorkom dat externe inhoud het Copilot-contextvenster bereikt. EchoLeak was succesvol omdat een kwaadaardige e-mail de herstelset van Copilot binnenkwam en de ingevoegde instructies werden uitgevoerd alsof het een zoekopdracht van de gebruiker was. Volgens de onthulling van Aim Security omzeilde de aanval vier verschillende verdedigingslagen: de cross-prompt injectie-classifier van Microsoft, het redigeren van externe links, de controles op het inhoudsbeveiligingsbeleid en de waarborgen voor referentievermeldingen. Schakel externe e-mailcontext uit in de Copilot-instellingen en beperk de weergave van Markdown in AI-uitvoer. Dit detecteert de klasse van snelle injectiefouten door het aanvalsoppervlak volledig te verwijderen.
3. Controleer de vaardigheidslogboeken op afwijkende interacties met de copiloot tijdens de blootstellingsperiode van januari tot februari. Zoekopdrachten naar Copilot Chat-query’s die inhoud retourneerden uit gelabelde berichten tussen 21 januari en half februari 2026. Geen van de foutklassen produceerde waarschuwingen via bestaande EDR of WAF, dus retrospectieve detectie is afhankelijk van Purview-telemetrie. Als uw huurder niet kan reconstrueren waartoe Copilot toegang heeft gehad tijdens de blootstellingsperiode, documenteer dit hiaat dan formeel. Dit is van belang voor de naleving. Voor elke organisatie die onderworpen is aan toezicht door de toezichthouders is een ongedocumenteerde toegang tot AI-gegevens tijdens een periode van bekende kwetsbaarheid een auditbevinding die nog moet gebeuren.
4. Schakel Beperkte Content Discovery in voor SharePoint-sites met gevoelige gegevens. RCD verwijdert locaties volledig uit de herstelpijplijn van Copilot. Dit werkt ongeacht of de vertrouwensschending voortkomt uit een codefout of een ingevoegde prompt, omdat de gegevens nooit in het contextvenster terechtkomen. Dit is de insluitingslaag die niet afhankelijk is van het aanbrengpunt en die kapot is gegaan. Voor organisaties die omgaan met gevoelige of gereguleerde gegevensde DMC is niet optioneel.
5. Bouw een draaiboek voor incidentrespons voor door de leverancier gehoste inferentiefouten. Incidentrespons (IR)-playbooks hebben een nieuwe categorie nodig: schendingen van vertrouwensgrenzen binnen de leveranciersinferentiepijplijn. Definieer escalatiepaden. Eigendom toewijzen. Stel een monitoringcadans in voor servicestatuswaarschuwingen van providers die van invloed zijn op de AI-verwerking. Uw SIEM zal de volgende ook niet opvangen.
Het model dat verder gaat dan Copilot
A Onderzoek uit 2026, uitgevoerd door Cybersecurity Insiders ontdekte dat 47% van de CISO’s en senior veiligheidsleiders al hebben waargenomen dat AI-agenten onbedoeld of ongeoorloofd gedrag vertonen. Organisaties zetten AI-assistenten sneller in de productie dan dat ze er governance omheen kunnen bouwen.
Dit traject is belangrijk omdat dit raamwerk niet specifiek is voor Copilot. Elke op RAG gebaseerde assistent die bedrijfsgegevens extraheert, volgt hetzelfde patroon: een ophaallaag selecteert inhoud, een applicatielaag bepaalt wat het model kan zien, en een generatielaag produceert uitvoer. Als de applicatielaag faalt, levert de herstellaag gevoelige gegevens aan het model, maar de beveiligingsstack ziet deze nooit. Copilot, Gemini for Workspace en elke tool met toegang tot intern documentherstel brengen hetzelfde structurele risico met zich mee.
Voer de vijfpuntenaudit uit vóór uw volgende bestuursvergadering. Begin met gelabelde testberichten in een bewaakte map. Als Copilot ze naar buiten brengt, is elke onderliggende politiek theater.
Het bestuur antwoordt: “Ons beleid was correct geconfigureerd. De applicatie faalde binnen de inferentiepijplijn van de leverancier. Hier zijn de vijf controles die we testen, beperken en vereisen voordat we volledige toegang voor gevoelige workloads opnieuw mogelijk maken.”
Bij de volgende fout wordt geen waarschuwing verzonden.
