Penjelasan teknis
VentureBeat melaporkan pada 15–16 April bahwa meskipun Microsoft menambal CVE-2026-21520 (CVSS 7.5) di Copilot Studio pada Januari 2026, exfiltration data via indirect prompt injection masih dapat dicapai. 'ShareLeak' milik Capsule Security mengeksploitasi celah antara SharePoint form submissions dan context window agent — menyuntikkan pesan system-role palsu yang mengganti instruksi agent, kemudian melakukan exfiltration data pelanggan SharePoint via Outlook. Secara terpisah, 'PipeLeak' mempengaruhi Salesforce Agentforce via email tool-action channel pada Custom Topics; Salesforce menyatakan telah 'remediated skenario spesifik yang dijelaskan' tetapi Capsule Security melakukan pengujian ulang dan melaporkan bahwa email channel tetap exploitable pada Custom Topics.
Vektor serangan
ShareLeak: Penyerang mengisi field komentar/form SharePoint yang dapat diakses publik dengan payload prompt yang dirancang yang mencakup pesan system role palsu. Copilot Studio menggabungkan input berbahaya dengan instruksi sistem agent tanpa sanitasi, mengganti perilaku yang dimaksudkan dan mengarahkan exfiltration data via Outlook. PipeLeak menggunakan prinsip injection yang sama melalui email tool-action channel Agentforce.
Sistem yang terdampak
Agent Microsoft Copilot Studio yang terhubung ke SharePoint form triggers (semua tenant); Salesforce Agentforce deployments menggunakan Custom Topics dengan email tool-action capabilities.
Mitigasi
Untuk Copilot Studio: Audit setiap agent yang dipicu oleh SharePoint forms untuk IoCs (unexpected Outlook send events, SharePoint data queries yang tidak biasa). Tinjau dan perkuat instruksi sistem agent; terapkan input validation di layer form. Untuk Agentforce: Verifikasi bahwa Human-in-the-Loop (HITL) confirmation diaktifkan pada semua agentic actions berbasis email, termasuk Custom Topics — jangan hanya mengandalkan pengaturan default. Monitor saluran security advisory Salesforce untuk penetapan CVE dan patch resmi untuk PipeLeak.