기술 설명
VentureBeat는 4월 15-16일에 Microsoft가 2026년 1월에 Copilot Studio에서 CVE-2026-21520(CVSS 7.5)을 패치했음에도 불구하고 간접 프롬프트 주입을 통한 데이터 유출이 여전히 가능하다고 보도했다. Capsule Security의 'ShareLeak'은 SharePoint 양식 제출과 에이전트의 컨텍스트 윈도우 간의 격차를 악용하여 가짜 시스템 역할 메시지를 주입하여 에이전트 지침을 무시한 후 Outlook을 통해 SharePoint 고객 데이터를 유출한다. 별개로 'PipeLeak'은 Custom Topics의 이메일 도구 작업 채널을 통해 Salesforce Agentforce에 영향을 미친다. Salesforce는 '설명된 특정 시나리오를 해결했다'고 밝혔지만 Capsule Security의 재시험 결과 이메일 채널이 Custom Topics에서 여전히 악용 가능하다고 보고했다.
공격 경로
ShareLeak: 공격자가 공개 SharePoint 댓글/양식 필드에 가짜 시스템 역할 메시지를 포함한 조작된 프롬프트 페이로드로 채운다. Copilot Studio는 악성 입력을 에이전트 시스템 지침과 함께 연결하되 검증 없이 의도된 동작을 무시하고 Outlook을 통해 데이터 유출을 지시한다. PipeLeak은 Agentforce의 이메일 도구 작업 채널을 통해 동일한 주입 원리를 사용한다.
영향받는 시스템
SharePoint 양식 트리거로 연결된 Microsoft Copilot Studio 에이전트(모든 테넌트); Custom Topics와 이메일 도구 작업 기능을 사용하는 Salesforce Agentforce 배포.
완화 방안
Copilot Studio의 경우: SharePoint 양식으로 트리거되는 모든 에이전트를 IoC에 대해 감시(예상치 못한 Outlook 전송 이벤트, 비정상적인 SharePoint 데이터 쿼리). 에이전트 시스템 지침을 검토하고 강화하며, 양식 계층에서 입력 검증을 적용한다. Agentforce의 경우: Custom Topics를 포함하여 모든 이메일 기반 에이전트 작업에 Human-in-the-Loop(HITL) 확인이 활성화되어 있는지 확인하되, 기본 설정에만 의존하지 않는다. PipeLeak의 CVE 할당 및 공식 패치에 대해 Salesforce의 보안 권고 채널을 모니터링한다.