Microsoft baru saja mengungkap sekaligus memperbaiki tiga kerentanan kritis yang memengaruhi layanan Microsoft 365 Copilot dan Copilot Chat di Microsoft Edge. Ketiga celah keamanan tersebut diumumkan secara resmi pada 7 Mei 2026 dan kabar baiknya, pengguna maupun administrator tidak perlu melakukan tindakan apa pun karena mitigasi sudah diterapkan langsung oleh Microsoft.
Baca Juga : Microsoft Resmi Rilis Group Policy untuk Hapus Copilot di Windows 11
Melalui Microsoft Security Response Center, perusahaan merilis advisory untuk tiga celah keamanan dengan kode CVE-2026-26129, CVE-2026-26164, dan CVE-2026-33111. Ketiganya masuk dalam kategori Information Disclosure atau kebocoran informasi dan memiliki tingkat keparahan Critical.
Langkah ini menjadi bagian dari komitmen Microsoft terhadap transparansi layanan cloud melalui program “Toward Greater Transparency: Unveiling Cloud Service CVEs”. Dalam program tersebut, Microsoft berupaya lebih terbuka terkait kerentanan yang ditemukan di layanan cloud miliknya.
Detail Kerentanan Microsoft 365 Copilot
Kerentanan pertama, yaitu CVE-2026-26129, ditemukan pada fitur Business Chat di Microsoft 365 Copilot. Celah ini disebabkan oleh proses penanganan elemen khusus yang tidak dilakukan dengan benar pada output yang digunakan oleh komponen lain di sistem.
Akibatnya, penyerang yang tidak memiliki otorisasi berpotensi mendapatkan akses terhadap informasi sensitif melalui jaringan. Meski Microsoft tidak mempublikasikan detail skor CVSS secara lengkap, label Critical menunjukkan risiko kebocoran data yang cukup tinggi, terutama karena Copilot memiliki akses luas terhadap data perusahaan.
Sementara itu, CVE-2026-26164 juga menargetkan M365 Copilot dan diklasifikasikan dalam CWE-74, yaitu Improper Neutralization of Special Elements in Output Used by a Downstream Component atau biasa dikenal sebagai Injection.
Kerentanan ini bisa dieksploitasi melalui jaringan tanpa memerlukan hak akses khusus maupun interaksi pengguna. Dampaknya berfokus pada kerahasiaan data dengan tingkat risiko tinggi. Namun, Microsoft menilai kemungkinan eksploitasi masih relatif kecil karena kode eksploitasi belum terbukti tersedia secara publik.
Copilot Chat di Microsoft Edge Juga Terdampak
Selain M365 Copilot, Microsoft juga menemukan celah keamanan pada Copilot Chat yang terintegrasi di browser Microsoft Edge. Kerentanan ini memiliki kode CVE-2026-33111 dan masuk dalam kategori CWE-77 atau Command Injection.
Celah tersebut memiliki skor CVSS 7.5 dengan profil serangan yang hampir sama seperti CVE-2026-26164. Penyerang dapat mengeksploitasi kerentanan melalui jaringan tanpa membutuhkan hak akses maupun interaksi pengguna.
Hal ini cukup mengkhawatirkan mengingat Microsoft Edge banyak digunakan di lingkungan enterprise atau perusahaan besar. Jika dimanfaatkan oleh pihak tidak bertanggung jawab, kebocoran informasi sensitif bisa saja terjadi tanpa disadari pengguna.
AI Produktivitas Jadi Target Baru Serangan Siber
Ketiga kerentanan ini sekaligus menunjukkan bahwa tools produktivitas berbasis AI kini menjadi permukaan serangan baru di dunia keamanan siber.
Microsoft 365 Copilot sendiri diketahui memiliki kemampuan untuk mengakses dan memproses berbagai data organisasi, mulai dari email, dokumen, hingga percakapan Microsoft Teams. Jika terdapat kelemahan dalam pengelolaan elemen khusus atau perintah tertentu, maka data sensitif berpotensi bocor melewati batas keamanan sistem.
Di lingkungan perusahaan yang memberikan akses luas kepada Copilot, dampaknya tentu tidak bisa dianggap sepele. Informasi penting seperti dokumen internal, komunikasi rahasia, hingga data kekayaan intelektual perusahaan bisa saja terekspos.
Microsoft memberikan kredit kepada Estevam Arantes dari Microsoft atas penemuan CVE-2026-26129 dan CVE-2026-26164. Selain itu, peneliti independen bernama 0xSombra juga turut mendapat apresiasi terkait temuan CVE-2026-26164.
Untuk CVE-2026-33111, Microsoft tidak mencantumkan nama penemu dalam laporannya.
Microsoft juga memastikan bahwa ketiga kerentanan tersebut belum pernah dipublikasikan maupun dieksploitasi secara aktif sebelum pengumuman resmi dilakukan.
Baca Juga : Microsoft Defender Salah Tandai Sertifikat DigiCert sebagai Malware
Karena seluruh celah keamanan ini berada di sisi cloud service, Microsoft telah menerapkan mitigasi langsung pada lapisan layanan. Artinya, perusahaan maupun pengguna tidak perlu menginstal patch tambahan atau melakukan perubahan konfigurasi tertentu.
Meski begitu, tim keamanan perusahaan tetap disarankan untuk meninjau kembali izin akses data pada Copilot serta menerapkan prinsip least privilege guna meminimalkan risiko apabila kerentanan serupa kembali muncul di masa mendatang.
