Vanaf 21 januari heeft de Copilot van Microsoft gedurende vier weken vertrouwelijke e-mails gelezen en samengevat, ondanks elk gevoeligheidslabel en DLP-beleid dat dit niet mocht doen. De handhavingspunten braken binnen de eigen pijplijn van Microsoft, en geen enkel beveiligingshulpmiddel in de stapel markeerde dit. Onder de getroffen organisaties bevond zich de Britse National Health Service, die het registreerde als INC46740412 – een signaal van hoe ver het falen reikte tot de gereguleerde gezondheidszorgomgevingen. Microsoft heeft het gevolgd als CW1226324.
Het advies, voor het eerst gerapporteerd door BleepingComputer op 18 februari is het de tweede keer in acht maanden dat de ophaalpijplijn van Copilot zijn eigen vertrouwensgrens heeft geschonden – een mislukking waarbij een AI-systeem toegang krijgt tot gegevens of gegevens verzendt die expliciet niet mochten worden aangeraakt. De eerste was nog erger.
In juni 2025 heeft Microsoft een patch uitgebracht CVE-2025-32711een kritieke zero-click-kwetsbaarheid die onderzoekers van Aim Security ‘EchoLeak’ noemden. Eén kwaadaardige e-mail omzeilde de prompt injection-classifier van Copilot, de redactie van links, het Content-Security-Policy en de referentievermeldingen om stilletjes bedrijfsgegevens te exfiltreren. Er waren geen klikken en geen actie van de gebruiker vereist. Microsoft heeft het een CVSS-score van 9,3.
Twee verschillende grondoorzaken; één blinde vlek: een codefout en een geavanceerde exploitketen leverden een identiek resultaat op. Copilot verwerkte gegevens die expliciet niet mochten worden aangeraakt, en de beveiligingsstack zag niets.
Waarom EDR en WAF hier architectonisch blind voor blijven
Eindpuntdetectie en respons (EDR) bewaakt het gedrag van bestanden en processen. Webapplicatiefirewalls (WAF’s) inspecteren HTTP-payloads. Geen van beide heeft een detectiecategorie voor ‘uw AI-assistent heeft zojuist zijn eigen vertrouwensgrens geschonden’. Deze kloof bestaat omdat LLM-ophaalpijplijnen achter een handhavingslaag zitten waarvoor traditionele beveiligingstools nooit zijn ontworpen.
Copilot nam een gelabelde e-mail op die hij moest overslaan, en de hele actie vond plaats binnen de infrastructuur van Microsoft. Tussen de ophaalindex en het generatiemodel. Er viel niets op de schijf, er passeerde geen afwijkend verkeer en er ontstond geen proces dat door een eindpuntagent kon worden gemarkeerd. De beveiligingsstack rapporteerde ‘all-clear’ omdat het nooit de laag had gezien waar de overtreding plaatsvond.
De CW1226324-bug werkte omdat een codepadfout ervoor zorgde dat berichten in Sent Items en Drafts in de ophaalset van Copilot terechtkwamen, ondanks gevoeligheidslabels en DLP-regels die ze hadden moeten blokkeren, aldus het advies van Microsoft. EchoLeak werkte omdat de onderzoekers van Aim Security bewezen dat een kwaadaardige e-mail, geformuleerd om op gewone zakelijke correspondentie te lijken, de ophaal-verbeterde generatiepijplijn van Copilot kon manipuleren om toegang te krijgen tot interne gegevens en deze naar een door de aanvaller bestuurde server te verzenden.
De onderzoekers van Aim Security karakteriseerden het als een fundamentele ontwerpfout: agenten verwerken vertrouwde en niet-vertrouwde gegevens in hetzelfde denkproces, waardoor ze structureel kwetsbaar worden voor manipulatie. Die ontwerpfout verdween niet toen Microsoft EchoLeak patchte. CW1226324 bewijst dat de handhavingslaag eromheen zelfstandig kan falen.
De vijfpuntsaudit die betrekking heeft op beide faalwijzen
Geen van beide fouten heeft tot één enkele waarschuwing geleid. Beide werden ontdekt via advieskanalen van leveranciers – niet via SIEM, niet via EDR, niet via WAF.
CW1226324 werd op 18 februari openbaar gemaakt. Getroffen huurders waren sinds 21 januari blootgesteld. Microsoft heeft niet bekendgemaakt hoeveel organisaties getroffen zijn of welke gegevens in die periode zijn benaderd. Voor beveiligingsleiders is dat gat het verhaal: een blootstelling van vier weken binnen de inferentiepijplijn van een leverancier, onzichtbaar voor elk hulpmiddel in de stapel, alleen ontdekt omdat Microsoft ervoor koos een advies te publiceren.
1. Test DLP-handhaving rechtstreeks tegen Copilot. CW1226324 bestond vier weken omdat niemand testte of Copilot daadwerkelijk de gevoeligheidslabels op Verzonden Items en Concepten respecteerde. Creëer gelabelde testberichten in gecontroleerde mappen, ondervraag Copilot en bevestig dat deze niet kunnen worden weergegeven. Voer deze test maandelijks uit. Configuratie is geen handhaving; het enige bewijs is een mislukte ophaalpoging.
2. Blokkeer dat externe inhoud het contextvenster van Copilot bereikt. EchoLeak slaagde daarin omdat een kwaadaardige e-mail de ophaalset van Copilot binnenkwam en de geïnjecteerde instructies werden uitgevoerd alsof het de vraag van de gebruiker was. De aanval omzeilde vier verschillende verdedigingslagen: de cross-prompt injectie-classifier van Microsoft, het redigeren van externe links, de controles op het inhoudsbeveiligingsbeleid en de waarborgen voor referentievermeldingen, zo blijkt uit de openbaarmaking van Aim Security. Schakel externe e-mailcontext uit in de Copilot-instellingen en beperk de Markdown-weergave in AI-uitvoer. Hiermee wordt de klasse van mislukkingen met snelle injectie ondervangen door het aanvalsoppervlak volledig te verwijderen.
3. Controleer Purview-logboeken op afwijkende Copilot-interacties tijdens de blootstellingsperiode van januari tot en met februari. Zoek naar Copilot Chat-query’s die inhoud retourneerden uit gelabelde berichten tussen 21 januari en medio februari 2026. Geen van beide foutklassen produceerde waarschuwingen via de bestaande EDR of WAF, dus detectie achteraf is afhankelijk van Purview-telemetrie. Als uw huurder niet kan reconstrueren waartoe Copilot toegang heeft gehad tijdens de blootstellingsperiode, documenteer dat hiaat dan formeel. Het is van belang voor de naleving. Voor elke organisatie die onderworpen is aan toezicht door de toezichthouder, is een ongedocumenteerde toegang tot AI-gegevens tijdens een periode van bekende kwetsbaarheid een auditbevinding die nog moet gebeuren.
4. Schakel Beperkte Content Discovery in voor SharePoint-sites met gevoelige gegevens. RCD verwijdert sites volledig uit de ophaalpijplijn van Copilot. Het werkt ongeacht of de vertrouwensschending voortkomt uit een codefout of een geïnjecteerde prompt, omdat de gegevens überhaupt nooit in het contextvenster terechtkomen. Dit is de insluitingslaag die niet afhankelijk is van het handhavingspunt dat is gebroken. Voor organisaties die gevoelige of gereguleerde gegevens verwerkenRCD is niet optioneel.
5. Bouw een draaiboek voor incidentrespons voor door de leverancier gehoste gevolgtrekkingsfouten. Incidentrespons (IR)-playbooks hebben een nieuwe categorie nodig: schendingen van vertrouwensgrenzen binnen de inferentiepijplijn van de leverancier. Definieer escalatiepaden. Eigendom toewijzen. Stel een monitoringcadans in voor gezondheidsadviezen van leveranciersservices die van invloed zijn op de AI-verwerking. Uw SIEM zal de volgende ook niet opvangen.
Het patroon dat verder gaat dan Copilot
A Onderzoek uit 2026 door Cybersecurity Insiders ontdekte dat 47% van de CISO’s en senior beveiligingsleiders al heeft waargenomen dat AI-agenten onbedoeld of ongeoorloofd gedrag vertonen. Organisaties zetten AI-assistenten sneller in de productie dan dat ze er governance omheen kunnen bouwen.
Dat traject is van belang omdat dit raamwerk niet Copilot-specifiek is. Elke op RAG gebaseerde assistent die bedrijfsgegevens ophaalt, volgt hetzelfde patroon: een ophaallaag selecteert inhoud, een handhavingslaag bewaakt wat het model kan zien, en een generatielaag produceert uitvoer. Als de handhavingslaag faalt, stuurt de ophaallaag beperkte gegevens naar het model, en de beveiligingsstack ziet deze nooit. Copilot, Gemini for Workspace en elke tool met ophaaltoegang tot interne documenten brengt hetzelfde structurele risico met zich mee.
Voer de vijfpuntenaudit uit vóór uw volgende bestuursvergadering. Begin met gelabelde testberichten in een gecontroleerde map. Als Copilot ze boven water haalt, is elk beleid daaronder theater.
Het bestuur antwoordde: “Ons beleid is correct geconfigureerd. De handhaving is mislukt binnen de gevolgtrekkingspijplijn van de leverancier. Hier zijn de vijf controles die we testen, beperken en eisen voordat we volledige toegang voor gevoelige workloads opnieuw inschakelen.”
Bij de volgende fout wordt geen waarschuwing verzonden.
