Агенты корпоративного ИИ, призванные оптимизировать рабочие процессы, могут легко спровоцировать утечку данных. Исследователи безопасности обнаружили уязвимости prompt-injection в Microsoft Copilot Studio и Salesforce Agentforce, позволяющие злоумышленникам выполнять вредоносные инструкции через безобидные запросы, внедренные в формы. — csoonline.com
Предполагается, что корпоративные ИИ-агенты призваны оптимизировать рабочие процессы. Однако два недавних открытия показывают, что они с такой же легкостью могут оптимизировать и утечку данных.
Исследователи безопасности обнаружили уязвимости типа prompt-injection (инъекция запросов) как в Microsoft Copilot Studio, так и в Salesforce Agentforce, которые позволяют злоумышленникам выполнять вредоносные инструкции посредством, казалось бы, безобидных запросов.
Согласно данным Capsule Security, формы SharePoint и общедоступные формы лидов в Copilot уязвимы для атак, когда злоумышленники отправляют запросы, способные переопределить системное намерение и инициировать эксфильтрацию данных на серверы, контролируемые атакующим.
Одному из этих недостатков уже присвоен CVE с высоким уровнем критичности, в то время как другому, «критическому», по сообщениям, не хватило оснований для категоризации. Эти уязвимости могут привести к краже персональных данных (PII), записей о клиентах/лидах, конфиденциального бизнес-контекста в виде свободного текста, а также операционных данных и данных рабочих процессов.
В обоих случаях ИИ-агенты обрабатывают недоверенные пользовательские вводы как доверенные инструкции, отметили исследователи Capsule в раскрытиях, предоставленных CSO до их публикации в среду.
ShareLeak: Утечка данных форм SharePoint через Copilot
Проблема на стороне Microsoft, получившая название «ShareLeak», связана с тем, как агенты Copilot Studio обрабатывают отправку форм SharePoint. Атака начинается с внедрения специально сформированного полезного груза в стандартное поле формы, например, «комментарии», которое агент затем поглощает как часть своего операционного контекста.
Поскольку система объединяет пользовательский ввод с системными запросами, внедренный полезный груз переопределяет исходные инструкции агента. Таким образом, модель обманом заставляют поверить, что инструкции злоумышленника являются законными системными директивами. Вредоносный ввод проходит от отправки формы до выполнения агентом без какого-либо сопротивления.
После компрометации агент может получить доступ к подключенным спискам SharePoint и извлечь конфиденциальные данные клиентов, включая имена, адреса, номера телефонов, и отправить их внешне по электронной почте. Исследователи обнаружили, что даже когда механизмы безопасности Microsoft помечали поведение как подозрительное, данные все равно эксфильтрировались.
Основная причина заключается в отсутствии надежного разделения между доверенными системными инструкциями и недоверенными пользовательскими данными. В существующей конфигурации ИИ не может различить их, заявили исследователи.
Microsoft исправила проблему после раскрытия, присвоив ей CVE-2026-21520 и оценив ее критичность в 7,5 из 10 по шкале CVSS. Меры по смягчению последствий были приняты внутренне, и от пользователей не требуется никаких дополнительных действий.
PipeLeak: Захват Salesforce Agentforce простым лидом
В случае с Salesforce Agentforce злоумышленники внедряют вредоносные инструкции в общедоступную форму лида. Когда внутренний пользователь позже просит агента просмотреть или обработать этот лид, агент выполняет внедренные инструкции так, как если бы они были частью его задачи.
Согласно демонстрации Capsule, агент извлекает данные CRM с помощью функции «GetLeadsInformation», а затем отправляет их внешне по электронной почте.
Компрометация не ограничивается одной записью. Исследователи продемонстрировали, что захваченный агент может запрашивать и эксфильтрировать несколько записей лидов пакетом, фактически превращая отправку одной формы в конвейер извлечения данных из базы данных.
Исследователи сообщили, что Salesforce признала проблему инъекции запросов, но охарактеризовала вектор эксфильтрации как «зависящий от конфигурации», указывая на необязательные элементы управления «человек в цикле» (HITL). Возражение Capsule против такой формулировки заключается в том, что требование ручных утверждений подрывает саму цель автономных агентов.
Более глубокая проблема, отметили они, заключается в небезопасных настройках по умолчанию. Системы, предназначенные для автоматизации, не должны позволять недоверенным вводам переопределять цели агента.
Оба раскрытия сходятся на базовом принципе, требующем рассматривать все внешние вводы как недоверенные и иметь фильтры, разделяющие данные и инструкции. Это повлечет за собой обеспечение проверки вводимых данных, доступа по принципу наименьших привилегий и строгого контроля над такими действиями, как исходящая электронная почта.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma