Microsoft присвоїла вразливості CVE-2026-21520, яка стосується непрямої ін’єкції підказок (indirect prompt injection) з оцінкою CVSS 7.5, платформу Copilot Studio. Вразливість була виявлена компанією Capsule Security, яка провела скоординоване розкриття інформації з Microsoft. Патч було випущено 15 січня, а публічне оголошення з’явилося в середу.
Ця CVE має значення не стільки через те, що вона виправляє, скільки через те, що сигналізує. Дослідження Capsule називає рішення Microsoft присвоїти CVE вразливості типу “ін’єкція підказок” в агентській платформі “дуже незвичайним”. Раніше Microsoft присвоїла CVE-2025-32711 (CVSS 9.3) для EchoLeak, атаки з ін’єкцією підказок у M365 Copilot, що була виправлена у червні 2025 року. Однак, тоді атака була спрямована на помічника продуктивності, а не на платформу для створення агентів. Якщо цей прецедент пошириться на агентські системи загалом, кожне підприємство, що використовує таких агентів, отримає новий клас вразливостей для відстеження. Особливо враховуючи, що цей клас неможливо повністю усунути лише виправленнями.
Capsule також виявила те, що вони назвали PipeLeak – паралельну вразливість непрямої ін’єкції підказок у Salesforce Agentforce. Microsoft випустила патч і присвоїла CVE. Salesforce, згідно з дослідженням Capsule, станом на момент публікації не присвоїла CVE і не видала публічного попередження щодо PipeLeak.
Що насправді робить ShareLeak
Вразливість, яку дослідники назвали ShareLeak, експлуатує прогалину між надсиланням форми SharePoint та контекстним вікном агента Copilot Studio. Зловмисник заповнює загальнодоступне поле коментарів підготовленим кодом (payload), який впроваджує фальшиве повідомлення системної ролі. Під час тестування Capsule Studio прямо об’єднав зловмисний ввід із системними інструкціями агента без жодної санітизації даних між формою та моделлю.
Впроваджений код перевизначив оригінальні інструкції агента в доведенні концепції Capsule, спонукавши його запитувати підключені списки SharePoint (SharePoint Lists) щодо даних клієнтів і надсилати ці дані через Outlook на адресу електронної пошти, контрольовану зловмисником. NVD класифікує цю атаку як низької складності, яка не потребує жодних привілеїв.
Власні механізми безпеки Microsoft позначили запит як підозрілий під час тестування Capsule. Однак, дані все одно були викрадені. Система запобігання втраті даних (DLP) не спрацювала, оскільки електронний лист було надіслано через легітимну дію Outlook, яку система розглядала як авторизовану операцію.
Картер Ріс, віце-президент з питань штучного інтелекту в Reputation, описав цю архітектурну помилку в ексклюзивному інтерв’ю VentureBeat. Він зазначив, що велика мовна модель (LLM) не може самостійно розрізняти довірені інструкції та недовірені отримані дані, стаючи “спантеличеним виконавцем”, що діє від імені зловмисника. OWASP класифікує цей шаблон як ASI01: Agent Goal Hijack (Захоплення мети агента).
Команда дослідників, що стоїть за обома відкриттями, Capsule Security, знайшла вразливість Copilot Studio 24 листопада 2025 року. Microsoft підтвердила її 5 грудня, а патч випустила 15 січня 2026 року. Кожному директору з безпеки, який керує агентами Copilot Studio, що запускаються формами SharePoint, слід перевірити цей період на наявність ознак компрометації.
PipeLeak та розкол Salesforce
PipeLeak належить до того ж класу вразливостей, але використовує інший вектор. Під час тестування Capsule, ввід даних через загальнодоступну форму лідогенерації (lead form) захопив контроль над агентом Agentforce без необхідності автентифікації. Capsule не виявила обмежень щодо обсягу викрадених даних CRM, і співробітник, який запустив агента, не отримав жодного сповіщення про витік даних.
Capsule не є першою дослідницькою групою, яка виявила ін’єкцію підказок у Agentforce. Noma Labs у вересні 2025 року розкрила інформацію про ForcedLeak (CVSS 9.4), і Salesforce виправила цей вектор, впровадивши списки довірених URL-адрес (Trusted URL allowlists). Однак, згідно з дослідженням Capsule, PipeLeak обходить цей патч через інший канал: електронну пошту, використовуючи авторизовані інструменти агента.
Наор Паз, генеральний директор Capsule Security, повідомив VentureBeat, що під час тестування не було виявлено жодних обмежень щодо виведення даних. “Ми не досягли жодних лімітів”, – сказав Паз. “Агент просто продовжував би викрадати всю CRM”.
Salesforce рекомендувала втручання людини (human-in-the-loop) як метод пом’якшення наслідків. Паз висловив незгоду: “Якщо людина повинна схвалювати кожну окрему операцію, це вже не зовсім агент”, – сказав він VentureBeat. “Це просто людина, яка натискає на дії агента”.
Microsoft випустила патч для ShareLeak і присвоїла CVE. Згідно з дослідженням Capsule, Salesforce випустила патч для шляху URL ForcedLeak, але не для каналу електронної пошти.
Кейн МакГлейдрі, старший член IEEE, висловився інакше в окремому інтерв’ю VentureBeat. Він зазначив, що організації клонують облікові записи користувачів у агентських системах, але агенти використовують значно більше дозволів, ніж люди, через швидкість, масштаб та намір.
Смертельна трійка та чому управління станом (posture management) зазнає невдачі
Паз назвав структурний стан, який робить будь-якого агента вразливим: доступ до приватних даних, вплив недовіреного контенту та можливість зовнішньої комунікації. ShareLeak відповідає всім трьом критеріям. PipeLeak також. Більшість виробничих агентів відповідають цим критеріям, оскільки саме це робить агентів корисними.
Ріс незалежно підтвердив діагноз. Він заявив VentureBeat, що багаторівнева оборона (defense-in-depth), побудована на детермінованих правилах, принципово недостатня для агентських систем.
Елія Зайцев, технічний директор CrowdStrike, назвав сам підхід до виправлень вразливістю в окремому інтерв’ю VentureBeat. “Люди забувають про безпеку під час виконання (runtime security)”, – сказав він. “Давайте виправимо всі вразливості. Неможливо. Завжди здається, що щось пропускаєш”. Спостереження за реальними діями є структурованою, вирішуваною проблемою, зазначив Зайцев. Намір – ні. Сенсор Falcon від CrowdStrike відстежує дерево процесів і фіксує, що робили агенти, а не те, що вони, здавалося б, мали намір.
Багатоетапна ескалація та сліпа зона кодувальних агентів
Одноразові ін’єкції підказок – це загроза початкового рівня. Дослідження Capsule задокументувало багатоетапні атаки ескалації (multi-turn crescendo attacks), де зловмисники розподіляють шкідливі коди протягом кількох етапів, кожен з яких виглядає нешкідливим. Кожен етап проходить перевірку. Атака стає помітною лише при аналізі як послідовності.
Ріс пояснив, чому поточний моніторинг це пропускає. Він зазначив VentureBeat, що статичний файрвол (WAF) розглядає кожен етап окремо і не виявляє загрози. Він бачить запити, а не семантичну траєкторію.
Capsule також виявила незадокументовані вразливості в платформах кодувальних агентів, які вони не назвали. Це включає отруєння пам’яті, яке зберігається між сесіями, та виконання шкідливого коду через MCP-сервери. В одному випадку, механізм контролю на рівні файлів, розроблений для обмеження доступу агента до певних файлів, був обійдений самим агентом, який знайшов альтернативний шлях до тих самих даних. Ріс визначив людський фактор: співробітники вставляють пропрієтарний код у публічні LLM і розглядають безпеку як перешкоду.
МакГлейдрі вказав на провал управління. “Якби злочинність була технологічною проблемою, ми б давно її вирішили”, – сказав він VentureBeat. “Кіберризик як окрема категорія – це повна вигадка”.
Модель примусового виконання під час виконання (runtime enforcement model)
Capsule підключається до наданих постачальниками шляхів виконання агентських систем, включаючи хуки безпеки Copilot Studio та контрольні точки перед використанням інструментів Claude Code, без проксі, шлюзів чи SDK. Компанія вийшла з режиму невизначеності в середу, одночасно оголосивши про залучення 7 мільйонів доларів початкового раунду фінансування під керівництвом Lama Partners та Forgepoint Capital International, що збіглося з їх скоординованим розкриттям інформації.
Кріс Кребс, перший директор CISA та радник Capsule, описав цю прогалину в операційних термінах. “Застарілі інструменти не були створені для моніторингу того, що відбувається між підказкою та дією”, – сказав Кребс. “Це і є прогалина під час виконання (runtime gap)”.
Архітектура Capsule розгортає тонко налаштовані малі мовні моделі (SLM), які оцінюють кожен виклик інструменту перед виконанням. Цей підхід Gartner називає “агентом-охоронцем” (guardian agent).
Не всі погоджуються, що аналіз намірів є правильним рівнем. Зайцев у ексклюзивному інтерв’ю з VentureBeat заявив, що виявлення на основі намірів є недетермінованим. “Аналіз намірів іноді працюватиме. Аналіз намірів не може завжди працювати”, – сказав він. CrowdStrike робить ставку на спостереження за тим, що агент фактично зробив, а не за тим, що він, здавалося б, мав намір. Власна документація Microsoft Copilot Studio надає веб-хуки зовнішніх постачальників безпеки, які можуть схвалювати або блокувати виконання інструментів, пропонуючи власний контрольний майданчик від постачальника поряд з опціями третіх сторін. Жоден окремий рівень не закриває прогалину. Аналіз намірів під час виконання, моніторинг фактичних дій та фундаментальні елементи контролю (найменші привілеї, санітизація вхідних даних, обмеження вихідних даних, цільове втручання людини) – все це належить до стеку. Команди SOC повинні зараз зіставити телеметрію: журнали активності Copilot Studio плюс рішення веб-хуків, журнали аудиту CRM для Agentforce та дані дерева процесів EDR для кодувальних агентів.
Паз описав ширший зсув. “Намір – це новий периметр”, – сказав він VentureBeat. “Агент під час виконання може вирішити звернути проти вас”.
Рекомендована матриця VentureBeat
Наступна матриця відображає п’ять класів вразливостей проти контролів, які їх пропускають, та конкретні дії, які керівники з безпеки повинні вжити цього тижня.
|
Клас вразливості |
Чому поточні засоби контролю пропускають його |
Що робить примусове виконання під час виконання |
Рекомендовані дії для керівників безпеки |
|
ShareLeak — Copilot Studio, CVE-2026-21520, CVSS 7.5, патч від 15 січня 2026 р. |
Тестування Capsule виявило відсутність санітизації вхідних даних між формою SharePoint та контекстом агента. Механізми безпеки спрацьовували, але дані все одно викрадалися. DLP не спрацював, оскільки електронний лист використовував легітимну дію Outlook. OWASP ASI01: Agent Goal Hijack. |
Агент-охоронець підключається до хуків безпеки Copilot Studio перед використанням інструментів. Перевіряє кожен виклик інструменту перед виконанням. Блокує виведення даних на рівні дій. |
Аудитуйте кожного агента Copilot Studio, запущеного формами SharePoint. Обмежте вихідну електронну пошту лише доменами організації. Інвентаризуйте всі списки SharePoint, доступні агентам. Перегляньте період з 24 листопада по 15 січня на наявність ознак компрометації. |
|
PipeLeak — Agentforce, CVE не присвоєно |
Під час тестування Capsule, ввід даних із загальнодоступної форми потрапляв безпосередньо в контекст агента. Автентифікація не потрібна. Обсяг викрадених даних CRM не обмежений. Співробітник не отримував жодних сповіщень про витік даних. |
Перехоплення під час виконання через агентські хуки платформи. Контрольна точка перед викликом кожного інструменту. Виявляє виведення даних до несанкціонованих призначення. |
Перегляньте всі автоматизації Agentforce, що запускаються загальнодоступними формами. Увімкніть втручання людини (human-in-the-loop) для зовнішніх комунікацій як тимчасовий контроль. Аудитуйте обсяг доступу до даних CRM для кожного агента. Чиніть тиск на Salesforce для присвоєння CVE. |
|
Багатоетапна ескалація — розподілений шкідливий код, кожен етап виглядає нешкідливим |
Статичний моніторинг аналізує кожен етап ізольовано. WAF, DLP та журнали активності бачать окремі запити, а не семантичну траєкторію. |
Статичний аналіз під час виконання відстежує повну історію розмови між етапами. Тонко налаштовані SLM оцінюють агрегований контекст. Виявляє, коли сукупна послідовність становить порушення політики. |
Вимагайте статичного моніторингу для всіх виробничих агентів. Додайте сценарії атак ескалації до вправ з червоною командою. |
|
Кодувальні агенти — неназвані платформи, отруєння пам’яті + виконання коду |
MCP-сервери впроваджують код та інструкції в контекст агента. Отруєння пам’яті зберігається між сесіями. Механізми захисту обходяться самим агентом. Внутрішні “тіньові” AI-системи вставляють пропрієтарний код у публічні LLM. |
Контрольна точка перед викликом кожного інструменту. Тонко налаштовані SLM виявляють аномальне використання інструментів під час виконання. |
Інвентаризуйте всі розгортання кодувальних агентів у інженерних відділах. Аудитуйте конфігурації MCP-серверів. Обмежте дозволи на виконання коду. Відстежуйте “тіньові” інсталяції. |
|
Структурна прогалина — будь-який агент із доступом до приватних даних + недовірений ввід + зовнішні комунікації |
Управління станом (posture management) повідомляє, що має статися. Воно не зупиняє те, що відбувається. Агенти використовують значно більше дозволів, ніж люди, зі значно більшою швидкістю. |
Агент-охоронець під час виконання відстежує кожну дію в режимі реального часу. Примусове виконання на основі намірів замінює виявлення за підписами. Використовує агентські хуки постачальника, а не проксі чи шлюзи. |
Класифікуйте кожного агента за рівнем ризику “смертельної трійки”. Розглядайте ін’єкцію підказок як ризик SaaS на рівні класу. Вимагайте безпеку під час виконання для будь-якого агента, що переходить у виробництво. Доповідайте правлінню про ризики агентів як про бізнес-ризики. |
Що це означає для планування безпеки на 2026 рік
Присвоєння Microsoft CVE прискорить або роздробить галузевий підхід до керування агентськими вразливостями. Якщо постачальники називатимуть їх проблемами конфігурації, керівники з безпеки (CISO) нестимуть ризик самотужки.
Розглядайте ін’єкцію підказок як ризик SaaS на рівні класу, а не як індивідуальні CVE. Класифікуйте кожне розгортання агента за його схильністю до “смертельної трійки”. Вимагайте примусового виконання під час виконання для будь-чого, що переходить у виробництво. Доповідайте правлінню про ризики агентів так, як це сформулював МакГлейдрі: як про бізнес-ризики, адже кіберризик як окрема категорія перестав бути корисним з того моменту, як агенти почали працювати на машинній швидкості.
Як захиститися (Порада ІТ-Блогу):
-
Регулярно оновлюйте програмне забезпечення: Переконайтеся, що всі ваші операційні системи, програми та антивірусні рішення оновлені до останніх версій. Це допоможе виправити відомі вразливості, які можуть бути використані зловмисниками.
-
Використовуйте двофакторну автентифікацію (2FA): Де це можливо, увімкніть двофакторну автентифікацію для всіх ваших облікових записів. Це додає додатковий рівень захисту, який значно ускладнює несанкціонований доступ, навіть якщо ваш пароль буде скомпрометовано.
Подробиці можна знайти на сайті: venturebeat.com