技术说明
VentureBeat 在 4 月 15-16 日报告称,尽管 Microsoft 在 2026 年 1 月修补了 Copilot Studio 中的 CVE-2026-21520(CVSS 7.5),通过间接提示注入进行数据泄露仍然可以实现。Capsule Security 的 'ShareLeak' 利用了 SharePoint 表单提交和代理上下文窗口之间的漏洞——注入虚假系统角色消息来覆盖代理指令,然后通过 Outlook 泄露 SharePoint 客户数据。另外,'PipeLeak' 通过 Custom Topics 上的电子邮件工具操作通道影响 Salesforce Agentforce;Salesforce 表示已"修复了所描述的特定场景",但 Capsule Security 重新测试后报告 Custom Topics 上的电子邮件通道仍可被利用。
攻击途径
ShareLeak:攻击者在面向公众的 SharePoint 评论/表单字段中填入精心制作的提示载荷,包含虚假系统角色消息。Copilot Studio 将恶意输入与代理系统指令连接而不进行清理,覆盖预期行为并指导通过 Outlook 进行数据泄露。PipeLeak 通过 Agentforce 的电子邮件工具操作通道使用相同的注入原理。
受影响系统
连接到 SharePoint 表单触发器的 Microsoft Copilot Studio 代理(所有租户);使用具有电子邮件工具操作功能的 Custom Topics 的 Salesforce Agentforce 部署。
缓解措施
对于 Copilot Studio:审计每个由 SharePoint 表单触发的代理以查找 IoCs(意外的 Outlook 发送事件、异常的 SharePoint 数据查询)。审查并加强代理系统指令;在表单层应用输入验证。对于 Agentforce:验证所有基于电子邮件的代理操作(包括 Custom Topics)都启用了人工参与(HITL)确认——不要仅依赖默认设置。监控 Salesforce 的安全公告渠道以获取 PipeLeak 的 CVE 分配和官方补丁。