Lumo AI
Lumo AI
แอปแชท AI ส่วนตัว
หน้าแรก Lumo AI

ปัญญาประดิษฐ์ (AI) > Microsoft Copilot ปลอดภัยหรือไม่?

Copilot ปลอดภัยหรือไม่?

Microsoft Copilot ได้รับการฝังไว้ใน Windows, Microsoft 365, Teams และ Edge โดยตรง ซึ่งช่วยให้เข้าถึงข้อมูลได้อย่างกว้างขวาง ก่อนแชร์ไฟล์อื่นหรือเริ่มบทสนทนาใหม่ ควรทำความเข้าใจว่าข้อมูลนั้นจะถูกส่งไปที่ใด และมีความหมายอย่างไรต่อความเป็นส่วนตัว

คำตอบสั้นๆ

สำหรับงานทั่วไปในชีวิตประจำวัน โดยทั่วไปแล้ว Copilot อาจมีความปลอดภัยในการใช้งาน อย่างไรก็ตาม เนื่องจากแนวทางการเก็บรวบรวมข้อมูลของ Microsoft และความเสี่ยงด้านความเป็นส่วนตัวที่ได้รับการบันทึกไว้ จึงควรหลีกเลี่ยงการใช้งานกับข้อมูลที่ละเอียดอ่อน

อาจเหมาะสำหรับ:

  • การร่างข้อความและอีเมลทั่วไป

  • การสรุปบทความที่เผยแพร่สู่สาธารณะ

  • การระดมความคิดสำหรับไอเดียทั่วไป

  • การสร้างข้อความที่ไม่ละเอียดอ่อน

  • การพิสูจน์อักษรเนื้อหาที่เผยแพร่สู่สาธารณะ

  • การจัดรูปแบบและปรับโครงสร้างเอกสารข้อความทั่วไป

  • การตอบคำถามความรู้ทั่วไป

ห้ามวางข้อมูลต่อไปนี้โดยเด็ดขาด:

  • รหัสผ่าน คีย์ API หรือข้อมูลยืนยันตัวตน

  • ข้อมูลส่วนบุคคล (ชื่อ อีเมล ไอดี)

  • ข้อมูลทางการเงินที่เป็นความลับ

  • บันทึกทางการแพทย์หรือข้อมูลสุขภาพ

  • เอกสารทางกฎหมาย สัญญา หรือการสื่อสารที่เป็นความลับเฉพาะ

  • แผนงานผลิตภัณฑ์ที่เป็นกรรมสิทธิ์หรือความลับทางการค้า

  • ข้อมูลพนักงานหรือฝ่ายบุคคล ข้อมูลเงินเดือน

Copilot ปลอดภัยที่จะใช้งานหรือไม่ บทวิเคราะห์เจาะลึก

ความเสี่ยงของ Copilot แตกต่างกันไปขึ้นอยู่กับว่าใช้งานเวอร์ชันบุคคลทั่วไปแบบฟรี สิทธิ์การใช้งานสำหรับองค์กรของ Microsoft 365 หรือฟีเจอร์ที่ติดตั้งมาพร้อมกับ Windows ก่อนที่จะเลือกใช้เครื่องมือ AI ใดๆ รวมถึง Copilot, ChatGPTGeminiMeta AI และ DeepSeek ควรคำนึงถึง ความเสี่ยงด้านความปลอดภัย และ ความเสี่ยงด้านความเป็นส่วนตัว ที่เกี่ยวข้องด้วย

ตาราง

ความเสี่ยง

ผลกระทบที่อาจเกิดขึ้น

ทำไมเรื่องนี้ถึงสำคัญ

ข้อมูลที่ใช้สำหรับการฝึกอบรมโมเดล AI

พรอมต์และบทสนทนาอาจถูกนำไปใช้เพื่อฝึกฝนโมเดล AI ของ Microsoft เว้นแต่จะเลือกไม่เข้าร่วมด้วยตนเอง

เนื้อหาละเอียดอ่อนที่แชร์อาจได้รับการตรวจสอบโดยมนุษย์หรือปรากฏในผลลัพธ์ในอนาคต

การเก็บรักษาข้อมูลและพื้นที่จัดเก็บอย่างไม่มีกำหนด

การโต้ตอบกับ Copilot สามารถจัดเก็บไว้ได้ตลอดไปโดยไม่มีนโยบายการเก็บรักษาข้อมูล

พรอมต์เก่าที่มีข้อมูลละเอียดอ่อนยังคงสามารถค้นหาได้ผ่านกระบวนการสืบค้นข้อมูลทางอิเล็กทรอนิกส์

การกำหนดสิทธิ์การใช้งานที่มากเกินไป

Copilot จะเข้าถึงทุกอย่างที่มีสิทธิ์เข้าถึง รวมถึงโฟลเดอร์และไดรฟ์ต่าง ๆ

เอกสารลับอาจถูกเปิดเผยโดยไม่ได้ตั้งใจ

การประมวลผลข้อมูลข้ามพรมแดน (การกำหนดเส้นทางแบบยืดหยุ่น)

ข้อมูลผู้เช่าระบบของ EU/EFTA อาจได้รับการประมวลผลนอกขอบเขตข้อมูลของสหภาพยุโรป (EU Data Boundary) ในช่วงที่มีความต้องการใช้งานสูง

องค์กรภายใต้ข้อบังคับของ GDPR, DORA หรือข้อบังคับเฉพาะสาขา อาจเผชิญกับการละเมิดการปฏิบัติตามข้อกำหนดที่อาจเกิดขึ้นได้

ข้อมูลอยู่ภายใต้เขตอำนาจศาลของสหรัฐอเมริกา

หน่วยงานรัฐบาลของสหรัฐฯ อาจเข้าถึงข้อมูลได้ ไม่ว่าจะมาจากประเทศใดหรือจัดเก็บข้อมูลไว้ที่ใดก็ตาม

แม้แต่ข้อมูลที่จัดเก็บในสหภาพยุโรปก็ไม่ได้รับการคุ้มครองโดยอัตโนมัติจากการร้องขอของรัฐบาลสหรัฐฯ

การรวบรวมข้อมูลข้ามบริการ

Copilot จะดึงข้อมูลจาก Bing, MSN, Edge และผลิตภัณฑ์อื่น ๆ ของ Microsoft ตามค่าเริ่มต้น

สร้างโปรไฟล์กิจกรรมที่กว้างขึ้น ซึ่งเพิ่มความเสี่ยงในการระบุตัวตนซ้ำ

การโจมตีด้วยการแทรกคำสั่งแบบพร้อมท์ (Prompt injection)

คำสั่งที่เป็นอันตรายที่ฝังไว้ในเอกสารสามารถเข้าควบคุมการตอบกลับของ Copilot ได้

ผู้โจมตีสามารถจัดการผลลัพธ์หรือขโมยข้อมูลภายในผ่านเอกสารต่าง ๆ ได้

ความเสี่ยงต่อความเป็นส่วนตัวส่วนบุคคล

ต่อไปนี้คือสิ่งที่มีความเสี่ยงในทุกครั้งที่ใช้งาน Copilot และเหตุผลว่าทำไม ความเป็นส่วนตัวของข้อมูลใน Microsoft Copilot จึงควรได้รับการตรวจสอบอย่างละเอียดยิ่งขึ้นกว่าที่คนส่วนใหญ่ให้ความสนใจ

บทสนทนาอาจถูกนำไปใช้เพื่อฝึกฝนโมเดล AI ของ Microsoft

ตามค่าเริ่มต้น Copilot เวอร์ชันผู้บริโภคจะใช้บทสนทนาเพื่อฝึกอบรม AI รวมถึงพรอมต์และการตอบกลับที่ได้รับ

ต้องดำเนินการยกเลิกในการตั้งค่าความเป็นส่วนตัวด้วยตนเอง และถึงอย่างนั้น ข้อมูลที่แชร์ไปก่อนการยกเลิกก็อาจได้รับการประมวลผลไปแล้ว

รูปภาพและไฟล์ที่อัปโหลดจะถูกจัดเก็บไว้เป็นเวลาสูงสุด 18 เดือน

หากแชร์รูปภาพหรือเอกสารกับ Copilot คำถามที่พบบ่อยเกี่ยวกับความเป็นส่วนตัวของ Microsoft ยืนยันว่าไฟล์จะถูกจัดเก็บอย่างปลอดภัยเป็นเวลาสูงสุด 18 เดือนก่อนจะถูกลบโดยอัตโนมัติ

รูปภาพ เอกสาร หรือไฟล์ที่ละเอียดอ่อนใดๆ ที่แชร์กับ Copilot จะอยู่บนเซิร์ฟเวอร์ของ Microsoft และอยู่นอกเหนือการควบคุม

ข้อมูลอาจอยู่ภายใต้กฎหมายของสหรัฐอเมริกา ไม่ว่าจะอยู่ที่ใดก็ตาม

เนื่องจาก Microsoft เป็นบริษัทในสหรัฐอเมริกา จึงต้องอยู่ภายใต้กฎหมาย CLOUD Act ซึ่งหมายความว่าทางการสหรัฐฯ อาจเข้าถึงข้อมูลได้แม้ไม่ได้อาศัยอยู่ที่นั่น และในบางครั้งอาจไม่จำเป็นต้องใช้หมายค้น

สิ่งนี้ก่อให้เกิด ความเสี่ยงขั้นพื้นฐานสำหรับผู้ใช้ที่อยู่นอกสหรัฐฯ แม้กระทั่งผู้ที่ได้รับการคุ้มครองตามข้อตกลง EU Data Boundary ของ Microsoft

Copilot จะดึงข้อมูลจากระบบนิเวศของ Microsoft ตามค่าเริ่มต้น

“ข้อมูลการใช้งาน Microsoft” เป็นการตั้งค่าที่เปิดใช้งานเป็นค่าเริ่มต้น ซึ่งจะเข้าถึงข้อมูลจาก Bing, MSN, Microsoft Edge และบริการอื่นๆ ของ Microsoft เพื่อปรับแต่งประสบการณ์การใช้งาน Copilot

ZDNet รายงาน(หน้าต่างใหม่) ว่าต้องเลือกปฏิเสธการรวบรวมข้อมูลข้ามบริการนี้อย่างชัดเจน ผลลัพธ์ที่ได้คือข้อมูลประวัติเชิงลึกที่เพิ่มขึ้นเรื่อยๆ เกี่ยวกับกิจกรรม พฤติกรรมการท่องเว็บ และการปฏิสัมพันธ์ โดยไม่รู้ตัวหรือไม่ได้รับความยินยอม

ความเสี่ยงในการระบุตัวตนซ้ำจากข้อมูล 'ที่ไม่ระบุตัวตน'

Microsoft ระบุว่าจะทำให้ข้อมูลไม่สามารถระบุตัวตนได้ก่อนที่จะนำไปใช้ในการฝึกอบรมโมเดล โดยจะลบหมายเลขโทรศัพท์ เบลอใบหน้า และถอดตัวบ่งชี้บางอย่างออก

อย่างไรก็ตาม ชุดข้อมูลที่คาดว่าไม่ระบุตัวตนเหล่านี้สามารถระบุตัวตนซ้ำได้เมื่อนำไปรวมกับข้อมูลการประทับเวลา คุณลักษณะของอุปกรณ์ หรือสัญญาณระบุตำแหน่ง

เนื่องจาก Copilot ได้รับการฝังไว้อย่างลึกซึ้งในระบบนิเวศข้ามบริการซึ่งครอบคลุมทั้ง Windows, Microsoft 365, Bing และ Edge ความเสี่ยงของการเชื่อมโยงข้อมูลซ้ำจึงเพิ่มมากขึ้นตามกาลเวลา


ก่อนหน้านี้ Microsoft ได้กลับคำสัญญาที่จะ 'ไม่เก็บรักษาข้อมูล'

แต่เดิม Microsoft ได้ทำตลาด Copilot โดยชูจุดเด่นด้านการปกป้องข้อมูล บนพื้นฐานที่ว่าจะไม่มีการเก็บรักษาพรอมต์ของผู้ใช้

ทว่าในปลายปี 2024 ทางบริษัทได้กลับคำมั่นสัญญานั้น(หน้าต่างใหม่) โดยเริ่มมีการเก็บรักษาพรอมต์เพื่อวัตถุประสงค์ในการปฏิบัติตามข้อกำหนดและการตรวจสอบ ประเด็นสำคัญคืออะไร?

กฎเกณฑ์ที่ควบคุมดูแลข้อมูลสามารถเปลี่ยนแปลงได้ตลอดเวลา — และสำหรับผลิตภัณฑ์ที่เป็นระบบปิด (closed-source) อาจทราบเรื่องเมื่อทุกอย่างเกิดขึ้นไปแล้วเท่านั้น

ความเสี่ยงทางธุรกิจ

หากคิดว่าสิทธิ์การใช้งานสำหรับองค์กรจะช่วยรักษาความปลอดภัยของข้อมูล โปรดคิดใหม่อีกครั้ง เหตุการณ์ที่เกิดขึ้นจริงหลายครั้งแสดงให้เห็นว่า แม้แต่ลูกค้าองค์กรที่ชำระเงินก็ยังได้รับผลกระทบจากช่องโหว่ด้านความปลอดภัยของ Copilot ซึ่งมักเกิดขึ้นโดยไม่มีคำเตือนล่วงหน้า

Copilot จะใช้สิทธิ์การใช้งานทั้งหมดของผู้ใช้ รวมถึงการเข้าถึงไฟล์ที่จำกัดการเข้าถึง

หากใช้งานเอเจนต์ Copilot ใน Microsoft 365 จะเป็นการให้สิทธิ์เข้าถึงทุกสิ่งทุกอย่างที่ผู้ใช้มี รวมถึงไฟล์ภายในที่ละเอียดอ่อนซึ่งไม่เคยตั้งใจให้เข้าถึงได้อย่างแพร่หลาย

งานวิจัยจาก Metomic(หน้าต่างใหม่) พบว่าไฟล์ที่มีความสำคัญยิ่งยวดต่อธุรกิจมากกว่า 15% มีความเสี่ยงจากการแชร์มากเกินไป และมากกว่า 3% ของข้อมูลธุรกิจที่ละเอียดอ่อนถูกแชร์ไปทั่วทั้งองค์กรโดยไม่มีการควบคุมที่เหมาะสม

หากผู้ใช้ Copilot สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ Copilot ก็จะได้รับสิทธิ์เข้าถึงในระดับเดียวกัน สิ่งนี้อาจนำไปสู่การเปิดเผยข้อมูลที่ละเอียดอ่อน เนื่องจาก Copilot อาจใช้ข้อมูลนั้นในการฝึกโมเดลและทำให้ข้อมูลรั่วไหลในผลลัพธ์ที่แสดงออกมา

การกำหนดเส้นทางแบบยืดหยุ่น (flex routing) ส่งข้อมูล EU ออกนอกขอบเขตข้อมูล EU

ตั้งแต่เดือนเมษายน 2026 Microsoft จะเปิดใช้งาน การกำหนดเส้นทางแบบยืดหยุ่น (flex routing)(หน้าต่างใหม่) เป็นค่าเริ่มต้นสำหรับผู้เช่า EU และ EFTA ทั้งหมด

ในช่วงที่มีความต้องการใช้งานสูงสุด พรอมต์และข้อมูลของ Copilot อาจถูกส่งไปยังโครงสร้างพื้นฐานการประมวลผลภายนอก EU ซึ่งรวมถึงสหรัฐอเมริกาหรือออสเตรเลีย ซึ่งอาจส่งผลให้เกิดปัญหาด้านการปฏิบัติตามข้อกำหนดสำหรับองค์กรภายใต้ GDPR, NIS2 หรือ DORA

ที่สำคัญคือ การกำหนดเส้นทางแบบยืดหยุ่น (flex routing) เป็นแบบเลือกไม่เข้าร่วม (opt-out) เป็นค่าเริ่มต้น ไม่ใช่การเลือกเข้าร่วม (opt-in)

การโจมตีแบบ Prompt injection สามารถเปลี่ยนอีเมลและเอกสารให้กลายเป็นอาวุธได้

ด้วยวิธี Prompt Injection ผู้โจมตีสามารถฝังคำสั่งที่ซ่อนอยู่ภายในอีเมลหรือเอกสาร ซึ่งเมื่อ Copilot ประมวลผลแล้ว จะหลอกให้ AI ดึงข้อมูลภายในออกไป

 ช่องโหว่ EchoLeak(หน้าต่างใหม่) แสดงให้เห็นถึงสิ่งนี้ในวงกว้าง โดยผู้โจมตีสามารถขโมยข้อมูลจากสภาพแวดล้อม Microsoft 365 ของผู้ใช้ได้โดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ เลย

ข้อมูลที่เป็นความลับมีโอกาสที่จะถูกเปิดเผยได้

ในช่วงต้นปี 2026 Microsoft ยืนยันว่าบั๊กของซอฟต์แวร์ทำให้ Copilot สามารถอ่านและสรุปอีเมลที่เป็นความลับของผู้ใช้ได้ ซึ่งเป็นการข้ามผ่านนโยบาย การป้องกันข้อมูลสูญหาย ที่องค์กรต่างๆ ต้องพึ่งพาเพื่อปกป้องข้อมูลที่ละเอียดอ่อน

บั๊กดังกล่าวทำงานอยู่เป็นเวลาหลายสัปดาห์(หน้าต่างใหม่) ก่อนที่ Microsoft จะเริ่มดำเนินการ โดยผู้เชี่ยวชาญด้านความปลอดภัยตั้งข้อสังเกตว่าสิ่งนี้แสดงให้เห็นถึงจุดอ่อนขั้นพื้นฐานใน "ขอบเขตความน่าเชื่อถือ" ที่ Microsoft เคยสัญญากับลูกค้าองค์กร: Copilot มีโอกาสเข้าถึงอีเมลที่ได้รับการปกป้องได้ แม้ว่าบริษัทต่างๆ จะตั้งค่าอย่างชัดเจนไม่ให้ทำเช่นนั้นก็ตาม

การขาดความโปร่งใส

Microsoft Copilot เป็นซอฟต์แวร์แบบปิด สถาปัตยกรรมโมเดล ข้อมูลการฝึกสอน และเส้นทางการไหลของข้อมูลไม่สามารถตรวจสอบหรือตรวจประเมินได้อย่างอิสระ ซึ่งหมายความว่าจะต้องเชื่อคำรับรองของ Microsoft ไปตามนั้น

ไม่มีการตรวจสอบจากภายนอกอย่างเป็นอิสระเกี่ยวกับการอ้างสิทธิ์ในการจัดการข้อมูล

Microsoft เผยแพร่เอกสารเกี่ยวกับวิธีที่ Copilot จัดการข้อมูล แต่ไม่มีนักวิจัยอิสระ ผู้ตรวจสอบ หรือหน่วยงานกำกับดูแลใดสามารถตรวจสอบรหัสต้นฉบับจริงเพื่อยืนยันคำกล่าวอ้างเหล่านั้นได้ ใบรับรองความเป็นส่วนตัวเป็นสัญญาณที่เป็นประโยชน์ แต่ไม่สามารถทดแทน รหัสต้นฉบับแบบเปิดเผยที่สามารถตรวจสอบได้อย่างอิสระ ได้

การเปลี่ยนแปลงนโยบายสามารถเกิดขึ้นได้โดยไม่ต้องได้รับความยินยอมจากผู้ใช้

Microsoft ควบคุมข้อกำหนดในการประมวลผลข้อมูล และเคยเปลี่ยนแปลงข้อกำหนดดังกล่าวมาก่อนแล้ว การเปลี่ยนนโยบายการเก็บรักษาพรอมต์ในปี 2024 และการขยายการใช้ข้อมูลข้ามบริการในปี 2026 คือสองตัวอย่างในเรื่องนี้ ธุรกิจที่พึ่งพา Copilot ในการทำงานที่ละเอียดอ่อนต้องเผชิญกับมาตรฐานการปฏิบัติตามข้อกำหนดที่ไม่สามารถควบคุมหรือคาดเดาได้

วิธีใช้งาน Copilot อย่างปลอดภัย

ไม่จำเป็นต้องเลิกใช้งานเครื่องมือ AI ทั้งหมด แต่หากยังคงใช้งาน Copilot ต่อไป ขั้นตอนเหล่านี้จะช่วยลดความเสี่ยงได้อย่างมีนัยสำคัญ

เลือกปฏิเสธไม่ให้ใช้พรอมต์ในการฝึกโมเดล AI ของ Copilot
ปิดการแชร์ข้อมูลข้ามบริการ
หลีกเลี่ยงการอัปโหลดข้อมูลส่วนบุคคลทุกประเภท รวมถึงรูปภาพและเอกสาร
ควรพูดคุยกับ AI โดยตระหนักอยู่เสมอว่าบุคคลอื่นอาจเห็นการสนทนาดังกล่าวได้
เลือกไม่เข้าร่วมการกำหนดเส้นทางแบบยืดหยุ่น (flex routing) สำหรับธุรกิจใน EU หรือ EFTA
สำหรับธุรกิจ ควรตรวจสอบสิทธิ์การใช้งานโฟลเดอร์และไดรฟ์ก่อนอนุญาตให้ Copilot เข้าถึงข้อมูล

เปลี่ยนมาใช้ผู้ช่วย AI ที่เป็นส่วนตัว

Lumo ได้รับการออกแบบมาสำหรับผู้ที่ต้องการผู้ช่วย AI ที่เชื่อถือได้ Lumo ไม่เคยใช้การสนทนาเพื่อฝึกฝนโมเดลและไม่มีการเก็บรักษาบันทึกใดๆ เพื่อให้มั่นใจว่าข้อมูลมีความเป็นส่วนตัวอย่างสมบูรณ์ แม้แต่ Proton ก็ไม่สามารถเข้าถึงได้

คำถามที่พบบ่อยเกี่ยวกับความปลอดภัยของ Copilot

Copilot ปลอดภัยสำหรับข้อมูลที่เป็นความลับหรือไม่
Copilot มีการเข้ารหัสลับจากต้นทางถึงปลายทางหรือไม่
ความเสี่ยงในการใช้งาน Microsoft Copilot มีอะไรบ้าง
5 สิ่งที่ไม่ควรบอก Copilot มีอะไรบ้าง
Copilot เก็บรักษาภาพถ่ายและรูปภาพไว้หรือไม่
นายจ้างสามารถดูบทสนทนาใน Copilot ได้หรือไม่
Microsoft 365 Copilot ปลอดภัยกว่าเวอร์ชันสำหรับบุคคลทั่วไปหรือไม่

เรียนรู้เพิ่มเติมเกี่ยวกับ Copilot และ AI