微软 Copilot 安全系统存在盲点--而且是在运行时

了解企业生成式人工智能的新安全要求

简介:微软 Copilot 如何改变企业安全风险

Microsoft Copilot 正在改变企业访问和交互数据的方式。用户不再局限于搜索 SharePoint 网站、Teams 频道或电子邮件线程。取而代之的是,Copilot 可以从所有 Microsoft 365 工作负载中动态收集所需信息,按需回答自然语言问题。这一转变开启了生产力和知识访问的新时代。

但是,这种强大的功能也带来了一系列新的安全挑战。只关注配置和策略执行的传统方法是远远不够的。Copilot 的实时、上下文驱动响应意味着,安全团队必须适应这样一个世界:风险在运行时就会出现,而不仅仅是在设置时。

Copilot 为何挑战传统安全工具

传统的企业安全工具是为以下目的而设计的:

  • 确定性访问路径(清晰、可追踪的数据访问路径)
  • 静态权限(固定访问规则)
  • 可预测的应用程序行为(应用程序按其编码行事,仅此而已)

而 Copilot 则是:

  • 动态–适应每个提示
  • 情境驱动–从多个来源获取相关信息
  • 行为突变–有时会产生意想不到的新成果

因此,保护 Copilot 的安全需要分层防御:配置、身份和访问管理、策略执行,以及最重要的运行时行为的深度可见性。

微软 Copilot 如何工作(从安全角度看)

把 Copilot 看作是在 Microsoft 365 基础上分层的检索增强生成(RAG)系统。以下是每次用户交互时发生的情况:

  • 用户提交提示(通过浏览器、Office 应用程序或 Teams)
  • Copilot 检查用户身份、权限和上下文
  • 从 SharePoint、OneDrive、Teams、电子邮件、会议记录等中检索相关企业内容
  • 参考文献合并并 “接地气”,为答复提供依据
  • 生成量身定制的答案并返回给用户

最关键也是风险最大的一步是接地。安全团队必须问:

  • 选择了哪些文件?
  • 哪些聊天或对话影响了答案?
  • 是否包括外部或遗留参考资料?
  • 敏感或无意的内容是否影响了回应?

遗憾的是,这些问题往往无法仅通过配置检查或 API 遥测来回答。除非你能在运行时洞察一切,否则风险是不可见的。

Copilot 安全环境:工具多,层次多

没有一种安全产品能覆盖整个 Copilot 风险面。大多数企业都部署了多层控制措施,每一层都针对问题的不同方面:

1.配置和 SaaS 态势管理

  • 评估 Microsoft 365 租户设置和共享状态
  • 评估敏感度标签、团队外部访问和 Copilot 启用情况
  • 建立基线卫生、减少错误配置、支持审计
  • 限制:只关注可能发生的情况,而非实际发生的情况。无法深入了解运行时的用户提示、Copilot 响应或接地情况。

2.身份和条件访问控制

  • 控制谁可以访问 Copilot,并执行 MFA、设备安全和位置限制
  • 实现零信任执行
  • 限制:仅二进制(允许/拒绝)决定–无法查看内容或获准访问后的 Copilot 行为。

3.数据分类、DLP 和合规性

  • 对数据(PII、PHI、IP、受监管数据)进行分类,应用政策,执行保留和合规操作
  • 定义敏感内容并与法规保持一致
  • 局限性:假设标签和覆盖范围准确无误;难以看到 Copilot 如何实时组合内容。

4.审计日志和活动遥测

  • 跟踪 Copilot 的使用事件、调用者、时间和工作负载
  • 支持报告和取证
  • 局限性:仅限于事件层面–无法解释 Copilot 为何以特定方式回答或使用了哪些特定内容。

差距所在

即使采取了所有这些控制措施,各组织仍面临着关键的未决问题:

  • 哪些文件实际上影响了 Copilot 的答复?
  • Copilot 是否显示了用户不应看到的信息?
  • 是否默默地重新引入了遗留文件或外部文件?
  • 实时提示或回复是否违反政策?
  • 即使配置看起来正确,是否仍存在违反合规的情况?

为什么? 因为 Copilot 风险是在运行时出现的,而不仅仅是在如何设置时。

介绍人工智能>Secure:缩小运行时安全差距

人工智能>Secure 就是为应对这一挑战而专门设计的。它可作为一个内联中间人(MITM)安全层,在发生时检查所有 Copilot 流量,并提供 API 或纯终端解决方案无法比拟的功能。

AI>Secure 的主要功能:

在线检查和政策执行

  • 观察来自浏览器、Office 应用程序、Teams 和其他 Microsoft 365 客户端的 Copilot 互动
  • 实时而非事后执行政策
  • 观察并记录发生的接地行为

全民覆盖

  • 保护所有 Copilot 入口点:网络、桌面和移动设备
  • 无论用户如何访问 Copilot,都能确保一致的安全性和可见性

实时提示和响应检查

  • 在处理有问题的提示之前将其屏蔽
  • 在用户看到有风险的回复之前将其屏蔽或编辑
  • 防止数据泄漏,主动执行人工智能政策

接地和基准可见度

  • 识别每个响应中引用的所有文档、聊天记录、URL 和人工制品
  • 在运行时评估敏感性和适当性
  • 将每个引用与用户身份和上下文关联起来
  • 将 Copilot 安全性从基于假设转变为基于证据

验证器

  • 及时发现注射
  • 内容安全和语气分析
  • 企业定义的允许/拒绝类别
  • 参考 URL 安全和姿势
  • 防止代码和 IP 泄露
  • 防止数据泄露(PII、PHI、敏感企业数据)
  • 参考灵敏度和访问验证

仪表板和分析

    • 事务级指标(事务总数、提示与响应计数、验证器结果)
    • 针对验证器的深入分析(检测率、执行影响)
    • 用户和客户可见性(谁在使用 Copilot、在什么平台上使用、使用和违规趋势)
    • 合规性和风险态势(高风险用户、违规趋势、审计证据)

</ul

为什么多重安全层仍然重要

人工智能>Secure 不会取代核心 SaaS 态势管理、身份和访问控制、DLP/分类或审计工具。相反,它通过增加运行时可视性和执行的关键层来完善整个系统。

真正确保 Copilot 的安全意味着覆盖四个层面:

      • 配置
      • 访问
      • 政策
      • 行为(运行时)

大多数解决方案涵盖前三项。AI>Secure 专为第四项设计–Copilot 在现实世界中的风险由此显现。

结论:从意图到行为–副驾驶安全的新标准

随着 Copilot 成为企业知识的主要界面,安全标准也随之提高。评判企业的标准不再仅仅是如何编写策略或配置访问权限,而是人工智能在实践中的表现、决策是否可以解释,以及在推理过程中是否真正保护了敏感数据。

如果您无法了解 Copilot 如何将其答案作为基础,您就无法完全确保其安全。AI>Secure 提供了运行时的可视性、控制和证据,安全领导者可以放心地管理 Copilot,并满足监管机构、审计人员和企业本身的要求。