En feil i Microsofts KI-assistent for bedrifter har skapt hodebry for IT-ansvarlige — også i Norge, der Microsoft 365 Copilot er i utstrakt bruk. Feilen førte til at Copilot Chat behandlet og oppsummerte e-poster som eksplisitt var merket som fortrolige, stikk i strid med de datasikkerhetspolicyene bedriftene hadde satt opp.
Hva gikk galt?
Feilen, sporet under referanse-ID CW1226324, ble oppdaget 21. januar 2026, ifølge informasjon som er blitt offentlig kjent gjennom blant andre Bleeping Computer og The Register. Årsaken beskrives av Microsoft som et uspesifisert «kodeproblem» som gjorde at Copilots chat-funksjon i arbeidsfanen behandlet e-poster fra mappene Sendt og Utkast i Outlook — selv om disse var beskyttet med følsomhetsetiketter og tilhørende DLP-regler (Data Loss Prevention).
DLP-policyer er et sentralt verktøy for virksomheter som håndterer sensitiv informasjon. De er nettopp designet for å hindre at slik informasjon eksponeres for systemer eller brukere som ikke skal ha tilgang. At Copilot kunne krysse denne grensen, er derfor ikke bare et teknisk avvik — det er en potensiell compliance-utfordring for berørte organisasjoner.
Oppførselen brøt med Microsofts egne retningslinjer for hvordan Copilot skal håndtere beskyttet innhold
Microsoft: Ingen uvedkommende fikk tilgang
En talsperson for Microsoft understreker overfor ulike medier at feilen ikke ga noen tilgang til informasjon de ikke allerede var autorisert til å se. Med andre ord: Copilot oppsummerte e-poster fra brukerens egne mapper — ikke andres. Selskapet sier videre at tilgangskontrollene og datavernet forøvrig forble intakte gjennom hele perioden.
Likevel erkjenner Microsoft at dette ikke var i tråd med den tiltenkte oppførselen: Copilot er designet for å ekskludere beskyttet innhold fra KI-behandling.
Rettelse rullet ut globalt
Microsoft begynte å rulle ut en rettelse i begynnelsen av februar 2026, og selskapet opplyste til medier i midten av måneden at en global konfigurasjonsoppdatering var fullført for bedriftskunder. Selskapets egne statusoppdateringer karakteriserte hendelsen som en «advisory», en betegnelse som vanligvis tilsier begrenset omfang eller påvirkning.
Hvor mange organisasjoner og brukere som faktisk ble berørt, har Microsoft ikke oppgitt. Selskapet sier kun at omfanget kan endre seg etter videre gjennomgang.
Relevant for norske bedrifter
Microsoft 365 Copilot ble gjort tilgjengelig for betalende bedriftskunder i applikasjoner som Word, Excel, PowerPoint, Outlook og OneNote i september 2025. Tjenesten er i dag utbredt i norsk næringsliv og offentlig sektor, noe som gjør denne typen feil direkte relevant for IT- og compliance-ansvarlige her til lands.
For virksomheter som opererer under strenge regulatoriske krav — som GDPR, finansregulering eller helsepersonelloven — kan selv en midlertidig svikt i datasikkerhetspolicyer få konsekvenser. Selv om Microsoft fastslår at ingen eksterne parter fikk innsyn, bør berørte organisasjoner vurdere å dokumentere hendelsen som ledd i sin internkontroll.
Microsofts egen dokumentasjon for følsomhetsetiketter inneholder for øvrig en viktig presisering: selv om innhold med slike etiketter ekskluderes fra Copilot i bestemte Office-apper, kan innholdet likevel bli tilgjengelig for Copilot i andre scenarioer. Dette antyder at etikettenes beskyttende effekt varierer mellom ulike deler av plattformen — noe som bør gi IT-ansvarlige grunn til å gjennomgå sine egne Copilot-konfigurasjoner.
Hva bør du gjøre nå?
Microsoft opplyser at rettelsen er global og allerede på plass for bedriftskunder. Dersom din organisasjon bruker Microsoft 365 Copilot med DLP-policyer og følsomhetsetiketter, anbefales det å:
- Bekrefte med Microsoft eller IT-leverandør at konfigurasjonsoppdateringen er mottatt
- Gjennomgå loggdata fra januar–februar 2026 for eventuelle Copilot-aktiviteter knyttet til fortrolig e-post
- Vurdere intern rapportering dersom virksomheten er underlagt strenge datavern- eller rapporteringskrav
Saken følges av blant andre Bleeping Computer, The Register og Cybernews.