Inteligență artificială (AI) > Este Microsoft Copilot sigur?

Este Copilot sigur?

Microsoft Copilot este încorporat direct în Windows, Microsoft 365, Teams și Edge — oferindu-i un acces larg la datele dvs. Înainte de a partaja un alt fișier sau de a începe o altă conversație, ar trebui să înțelegeți unde ajung acele date și ce înseamnă acest lucru pentru confidențialitatea dvs.

Răspunsul pe scurt

Pentru sarcinile de zi cu zi, Copilot poate fi, în general, sigur de utilizat. Cu toate acestea, din cauza practicilor Microsoft de colectare a datelor și a riscurilor documentate de confidențialitate, ar trebui să evitați să îl utilizați pentru orice informație sensibilă.

Posibil în regulă pentru:

Crearea de ciorne pentru mesaje și e-mailuri informale
Rezumarea articolelor disponibile public
Brainstorming de idei generale
Generarea de text nesensibil
Corectarea conținutului destinat publicului
Formatarea și restructurarea documentelor text generale
Răspunsul la întrebări de cultură generală

Nu lipiți niciodată:

Parole, chei API sau acreditări
Date cu caracter personal (nume, e-mailuri, ID-uri)
Date financiare confidențiale
Dosare medicale sau informații privind sănătatea
Documente juridice, contracte sau comunicări privilegiate
Planuri de dezvoltare a produselor proprii sau secrete comerciale
Date despre angajați sau resurse umane, informații despre salarii

Este Copilot sigur de utilizat? O analiză detaliată

Riscurile Copilot variază în funcție de faptul dacă utilizați versiunea gratuită pentru consumatori, o licență de întreprindere Microsoft 365 sau experiența Windows integrată. Înainte de a alege orice instrument de IA, inclusiv Copilot, ChatGPT, Gemini, Meta AI și DeepSeek, luați în considerare riscurile de securitate și de confidențialitate implicate.

Tabel
Risc	Impact potențial	De ce contează
Date utilizate pentru instruirea modelelor de IA	Solicitările și conversațiile dvs. pot fi utilizate pentru a antrena modelele de IA ale Microsoft, cu excepția cazului în care optați în mod activ pentru excludere	Conținutul sensibil pe care îl partajați ar putea fi examinat de oameni sau ar putea apărea în rezultatele viitoare
Păstrarea datelor și stocarea pe perioadă nedeterminată	Interacțiunile cu Copilot pot fi stocate pe termen nelimitat, fără o politică de păstrare	Solicitările vechi care conțin date sensibile pot fi găsite în continuare prin investigare electronică
Acordarea excesivă de permisiuni	Copilot accesează tot ceea ce aveți permisiunea de a accesa, inclusiv folderele și unitățile	Documentele confidențiale pot fi expuse în mod neintenționat
Prelucrarea transfrontalieră a datelor (direcționare flexibilă)	Datele de tenant din UE/AELS pot fi prelucrate în afara graniței datelor UE în perioadele de cerere crescută	Organizațiile care intră sub incidența GDPR, DORA sau a regulilor specifice sectorului se confruntă cu potențiale încălcări ale conformității
Datele sunt supuse jurisdicției SUA	Autoritățile din SUA vă pot accesa potențial datele, indiferent de unde proveniți sau unde sunt stocate acestea	Chiar și datele stocate în UE nu sunt protejate automat împotriva solicitărilor guvernamentale din SUA
Colectarea de date între servicii	Copilot extrage implicit date din Bing, MSN, Edge și alte produse Microsoft	Construiește un profil de activitate mai larg, crescând riscul de reidentificare
Atacuri de tip injectare de prompturi	Instrucțiunile rău intenționate încorporate în documente pot deturna răspunsurile Copilot	Atacatorii pot manipula rezultatele sau pot exfiltra date interne prin intermediul documentelor

Riscuri privind confidențialitatea personală

Iată ce puneți în pericol de fiecare dată când utilizați Copilot și de ce confidențialitatea datelor din Microsoft Copilot merită o analiză mult mai amănunțită decât îi acordă majoritatea oamenilor.

Conversațiile dvs. pot antrena modelele de IA ale Microsoft

În mod implicit, versiunea pentru consumatori a Copilot utilizează conversațiile dvs. pentru a-și instrui IA — inclusiv solicitările dvs. și răspunsurile pe care le primiți.

Trebuie să optați în mod activ pentru renunțare în setările dvs. de confidențialitate și chiar și atunci, datele partajate înainte de a opta pentru renunțare ar fi putut fi deja procesate.

Fotografiile și fișierele pe care le încărcați sunt stocate timp de până la 18 luni

Dacă partajați o imagine sau un document cu Copilot, propria pagină de întrebări frecvente privind confidențialitatea de la Microsoft confirmă că fișierul este stocat în siguranță timp de până la 18 luni înainte de a fi șters automat.

Orice imagine, document sau fișier sensibil pe care îl partajați cu Copilot rămâne pe serverele Microsoft și nu se mai află sub controlul dvs.

Datele dvs. pot intra sub incidența legislației SUA, indiferent de locul în care vă aflați

Deoarece Microsoft este o companie din SUA, aceasta este supusă legii CLOUD Act, ceea ce înseamnă că autoritățile din SUA vă pot accesa potențial datele chiar dacă nu aveți sediul acolo, uneori fără a fi necesar un mandat.

Acest lucru reprezintă un risc fundamental pentru utilizatorii din afara SUA, chiar și pentru cei care intră sub incidența angajamentului Microsoft privind frontiera datelor din UE.

Copilot vă preia datele din ecosistemul Microsoft în mod implicit

„Datele de utilizare Microsoft” este o setare activată în mod implicit, care vă accesează datele de pe Bing, MSN, Microsoft Edge și alte servicii Microsoft pentru a vă personaliza experiența Copilot.

ZDNet a raportat(fereastră nouă) că trebuie să optați în mod explicit pentru excluderea din această colectare de date între servicii. Rezultatul este un profil din ce în ce mai detaliat al activității dvs., al obiceiurilor de navigare și al interacțiunilor, fără cunoștința sau consimțământul dvs.

Riscul de reidentificare din datele „anonimizate”

Microsoft declară că de-identifică datele înainte de a le folosi pentru instruirea modelelor, eliminând numerele de telefon, estompând fețele și eliminând anumiți identificatori.

Cu toate acestea, aceste seturi de date presupuse anonime pot fi reidentificate atunci când sunt considerate în combinație cu marcaje temporale, caracteristici ale dispozitivelor sau semnale de locație.

Deoarece Copilot este profund încorporat într-un ecosistem de servicii încrucișate care cuprinde Windows, Microsoft 365, Bing și Edge, riscul de reasociere în timp este în continuă creștere.

Microsoft și-a anulat anterior propria promisiune de „nepăstrare”

Microsoft a promovat inițial Copilot cu protecția datelor pe baza faptului că nu păstra solicitările utilizatorilor.

Însă la sfârșitul anului 2024, a anulat acest angajament(fereastră nouă), introducând păstrarea solicitărilor în scopuri de conformitate și audit. Concluzia?

Regulile care guvernează datele dvs. se pot schimba în orice moment — iar în cazul unui produs cu sursă închisă, s-ar putea să aflați doar după ce s-a întâmplat deja.

Riscuri pentru companii

Dacă credeți că licența de întreprindere a organizației dvs. vă menține datele în siguranță, mai gândiți-vă o dată. Mai multe incidente din lumea reală arată că până și clienții plătitori de tip enterprise au fost luați prin surprindere de lacunele de securitate ale Copilot, adesea fără avertizare.

Copilot adoptă toate permisiunile utilizatorului, inclusiv accesul la fișierele restricționate

Dacă rulați un agent Copilot în Microsoft 365, îi oferiți acces la tot ceea ce deține utilizatorul — inclusiv la fișiere interne sensibile care nu au fost niciodată destinate să fie accesibile pe scară largă.

Cercetările de la Metomic(fereastră nouă) au constatat că peste 15% dintre fișierele critice pentru afaceri sunt expuse riscului din cauza partajării excesive, iar peste 3% dintre datele comerciale sensibile au fost partajate la nivelul întregii organizații fără controale adecvate.

Dacă un utilizator Copilot are acces la informații sensibile, Copilot obține un acces identic. Acest lucru poate duce la expunerea informațiilor sensibile, deoarece Copilot își poate antrena potențial modelele și poate divulga acele date în răspunsurile sale.

Direcționarea flexibilă (flex routing) trimite datele din UE în afara graniței datelor din UE

Din aprilie 2026, Microsoft activează în mod implicit direcționarea flexibilă (flex routing)(fereastră nouă) pentru toți clienții din UE și EFTA.

În perioadele de vârf, solicitările și datele Copilot pot fi direcționate către infrastructura de procesare din afara UE — inclusiv în SUA sau Australia —, ceea ce poate însemna probleme de conformitate pentru organizațiile care se supun GDPR, NIS2 sau DORA.

În mod crucial, direcționarea flexibilă (flex routing) este de tip opt-out în mod implicit, nu opt-in.

Atacurile de tip „prompt injection” pot transforma e-mailurile și documentele în arme

Prin injectările de solicitări (prompt injections), atacatorii pot încorpora instrucțiuni ascunse în e-mailuri sau documente care, atunci când sunt procesate de Copilot, păcălesc IA să exfiltreze date interne.

Vulnerabilitatea EchoLeak(fereastră nouă) a demonstrat acest lucru la scară largă, atacatorii putând fura date din mediul Microsoft 365 al unui utilizator, chiar și fără nicio acțiune din partea acestuia.

Datele dvs. confidențiale pot fi expuse în mod potențial

La începutul anului 2026, Microsoft a confirmat că o eroare de software a permis Copilot să citească și să rezume e-mailurile confidențiale ale utilizatorilor, ocolind politicile de prevenire a pierderii datelor pe care organizațiile se bazează pentru a proteja informațiile sensibile.

Eroarea a fost activă timp de săptămâni întregi(fereastră nouă) înainte ca Microsoft să acționeze, experții în securitate subliniind modul în care aceasta demonstrează o slăbiciune fundamentală în „limita de încredere” pe care Microsoft o promisese clienților enterprise: Copilot are potențialul de a accesa e-mailuri protejate, chiar și atunci când companiile îl configuraseră în mod explicit să nu facă acest lucru.

Lipsa de transparență

Microsoft Copilot este un software cu sursă închisă. Arhitectura modelului său, datele de antrenare și căile de flux de date nu pot fi inspectate sau auditate în mod independent, ceea ce înseamnă că se așteaptă de la dvs. să acceptați asigurările Microsoft ca atare.

Lipsa unei verificări independente a afirmațiilor privind gestionarea datelor

Microsoft publică documentație despre modul în care Copilot gestionează datele, dar niciun cercetător, auditor sau organism de reglementare independent nu poate inspecta baza de cod reală pentru a verifica aceste afirmații. Certificările de confidențialitate sunt semnale utile, dar nu un substitut pentru un cod sursă deschis, auditabil în mod independent.

Modificările de politică pot avea loc fără consimțământul utilizatorului

Microsoft controlează condițiile în care sunt procesate datele dvs. și le-a mai modificat în trecut. Anularea din 2024 a deciziei de păstrare a solicitărilor și extinderea datelor între servicii din 2026 sunt două exemple. Companiile care se bazează pe Copilot pentru activități sensibile sunt expuse la un prag de referință privind conformitatea pe care nu îl pot controla sau anticipa.

Cum să rămâneți în siguranță când utilizați Copilot

Nu trebuie să renunțați complet la instrumentele IA — dar dacă continuați să folosiți Copilot, acești pași vă vor reduce semnificativ expunerea.

Optați pentru excluderea de la utilizarea solicitărilor dvs. pentru a antrena modelele de IA ale Copilot.

Dezactivați partajarea datelor între servicii.

Evitați încărcarea oricărui tip de date cu caracter personal, inclusiv fotografii și documente.

Tratați chaturile cu IA pornind de la premisa că acestea ar putea fi văzute de alte persoane.

Renunțați la direcționarea flexibilă pentru companiile din UE sau EFTA.

Pentru companii, auditați permisiunile pentru foldere și unități înainte de a permite accesarea de către Copilot.

Treceți la un asistent IA privat

Lumo este conceput pentru persoanele care își doresc un asistent AI în care să poată avea încredere. Lumo nu vă folosește niciodată chaturile pentru instruire și nu păstrează niciun jurnal, asigurându-se că datele dvs. sunt complet private. Nici măcar Proton nu le poate accesa.

Încercați Lumo acum Utilizați Lumo for Business

Întrebări frecvente despre siguranța Copilot

Este Copilot sigur pentru informațiile confidențiale?: Nu, Copilot nu este un mediu sigur pentru informații confidențiale, sensibile sau reglementate. Instruirea IA este activată în mod implicit pentru conturile personale, fișierele pot fi stocate timp de până la trei ani, iar Microsoft — împreună cu părți terțe, cum ar fi autoritățile guvernamentale — vă poate accesa conversațiile stocate.
Este Copilot criptat de la un capăt la altul?: Nu, criptarea de la un capăt la altul (E2EE) nu este practică cu tehnologia actuală. Microsoft Copilot criptează datele în tranzit utilizând TLS/IPsec și în repaus utilizând AES-256 și BitLocker. Cu toate acestea, criptarea reală de la un capăt la altul înseamnă că doar expeditorul și destinatarul pot citi conținutul, nu și furnizorul de servicii.
Microsoft, în calitate de furnizor de servicii, deține cheile de decriptare și, prin urmare, poate accesa conținutul în scopuri de conformitate, audit și reținere legală, ceea ce înseamnă că nu utilizează E2EE. Diferența dintre Copilot și Lumo este că, în timp ce Microsoft vă păstrează datele și cheile de decriptare, Lumo nu păstrează jurnale și utilizează criptarea cu acces zero pentru a vă proteja istoricul chaturilor, astfel încât doar dvs. să dețineți cheia de decriptare.
Care sunt riscurile utilizării Microsoft Copilot?: În general, Microsoft Copilot prezintă diverse riscuri de confidențialitate și securitate, deoarece datele dvs. pot fi păstrate și utilizate pentru a antrena modelele de IA ale Copilot. Acest lucru înseamnă că chaturile, fișierele încărcate și unitățile sau folderele dvs. conectate pot fi expuse sau partajate potențial cu terți fără cunoștința sau consimțământul dvs.
Care sunt cele 5 lucruri pe care nu ar trebui să le spuneți niciodată lui Copilot?: Parole, chei API și acreditări
Date de identificare personală, inclusiv nume, adrese de e-mail și numere de identificare
Informații financiare confidențiale, cum ar fi prognozele de câștiguri, datele despre salarii sau rezultatele financiare nepublicate
Informații medicale și de sănătate personale, indiferent dacă sunt ale dvs. sau ale oricui altcuiva
Orice lucru care face obiectul secretului profesional juridic sau pe care nu ați dori să îl vedeți dezvăluit într-un litigiu
Vă păstrează Copilot fotografiile și imaginile?: Da. Conform propriei pagini de întrebări frecvente privind confidențialitatea de la Microsoft, imaginile și fișierele pe care le partajați cu Copilot sunt stocate în siguranță timp de până la 18 luni și apoi sunt șterse automat. Fișierul și conversația asociată sunt supuse setărilor dvs. de antrenare a modelului — ceea ce înseamnă că, dacă nu ați optat pentru excludere, fotografia și conversația din jurul acesteia pot fi utilizate pentru a îmbunătăți IA Microsoft.
Îmi poate vedea angajatorul conversațiile Copilot?: Dacă utilizați Microsoft 365 Copilot pe un cont administrat de companie, atunci da — angajatorul dvs. și administratorii companiei au posibilitatea de a vă accesa și revizui interacțiunile cu Copilot. Administratorii enterprise pot aplica politici de eDiscovery și de reținere legală pentru datele Copilot stocate în Microsoft Purview, platforma sa unificată pentru securitatea, gestionarea și conformitatea datelor. Considerați utilizarea Copilot pe contul dvs. de serviciu ca fiind potențial vizibilă pentru echipele dvs. de IT și de conformitate.
Este Microsoft 365 Copilot mai sigur decât versiunea pentru consumatori?: În unele privințe, da. Datele enterprise nu sunt utilizate pentru antrenarea modelelor de IA fundamentale ale Microsoft, izolarea la nivel de tenant previne divulgarea datelor între organizații, iar organizațiile pot configura politici de guvernanță prin Purview, platforma unificată a Microsoft pentru guvernanța datelor și conformitate. Cu toate acestea, utilizatorii enterprise se confruntă în continuare cu riscuri legate de accesarea cu permisiuni excesive, direcționarea flexibilă (pentru clienții din UE), atacurile de tip prompt injection și caracterul detectabil al jurnalelor de interacțiune AI. Niciuna dintre versiuni nu garantează date cu adevărat confidențiale.