微軟承認Office漏洞：Copilot AI數週無授權存取機密郵件

當你標記為「機密」的郵件被AI偷偷讀取數週，你會作何感想？微軟剛剛承認的這個漏洞，讓全球企業對AI工具的信任度面臨嚴峻考驗。

事件始末：AI繞過安全防線

根據Bleeping Computer首先報導，微軟的Office 365 Copilot存在一個嚴重漏洞，編號為CW1226324。這個漏洞讓AI系統能夠讀取並摘要標記為機密的電子郵件，完全無視客戶設定的資料遺失防護政策。

問題從今年1月就開始了。Copilot Chat這項付費功能，原本設計用於協助Microsoft 365用戶在Word、Excel和PowerPoint中使用AI聊天功能。然而，系統卻「誤處理」了那些明確標記為機密的草稿和已發送郵件。

微軟表示已在2月初開始推出修復程式，但拒絕透露受影響的客戶數量。面對媒體詢問，微軟發言人並未回應。

歐洲議會的警示行動

就在本週，歐洲議會IT部門做出了一個引人注目的決定：禁止議員在工作設備上使用內建AI功能。理由很直接——擔心AI工具會將潛在機密通訊上傳至雲端。

這個決定並非偶然。歐洲一直在數據保護方面走在全球前列，從GDPR到最新的AI法案，都體現了對隱私權的重視。而這次的預防性措施，更凸顯了政府機構對AI工具的深度疑慮。

亞洲企業的兩難處境

對於亞洲企業而言，這起事件帶來了複雜的挑戰。一方面，AI工具確實能大幅提升工作效率；另一方面，資料安全的風險卻不容忽視。

特別是在台灣、香港等地的跨國企業，往往需要處理來自不同司法管轄區的敏感資訊。當這些資料被意外餵給AI系統時，可能觸發多重合規風險。

以製造業為例，供應鏈資訊、技術規格、客戶名單等機密資料，一旦被AI「學習」，可能間接洩露給其他用戶。這對重視商業機密的華人企業來說，是個不容小覷的威脅。

中美科技競爭的新維度

這起事件也反映了一個更深層的問題：在中美科技競爭加劇的背景下，企業對於將敏感資料託付給美國科技巨頭的顧慮正在增加。

微軟的Copilot基於OpenAI的技術，而這些AI模型的訓練過程和資料處理方式，對外界來說仍是個黑盒子。企業很難確定自己的資料會被如何使用，是否會被用於改善競爭對手的服務。

風險與機會並存的抉擇

儘管存在風險，完全拒絕AI工具也並非明智之舉。關鍵在於如何在享受AI便利的同時，建立適當的風險管控機制。

一些企業開始採用「混合策略」：將AI工具用於非敏感業務，同時為機密資訊建立獨立的處理流程。也有企業選擇自建AI系統，雖然成本較高，但能更好地控制資料流向。

微軟這次的快速修復行動，以及對問題的公開承認，某程度上展現了大型科技公司對資安問題的重視。但對企業用戶來說，「事後修復」永遠不如「事前預防」來得安心。