Penjelasan teknis
VentureBeat melaporkan pada 15–16 April bahwa meskipun Microsoft mempatch CVE-2026-21520 (CVSS 7.5) di Copilot Studio pada Januari 2026, exfiltrasi data melalui indirect prompt injection tetap dapat dicapai. 'ShareLeak' milik Capsule Security mengeksploitasi celah antara penyerahan form SharePoint dan context window agent — menyuntikkan pesan fake system-role yang mengganti instruksi agent, kemudian melakukan exfiltrasi data pelanggan SharePoint melalui Outlook. Secara terpisah, 'PipeLeak' memengaruhi Salesforce Agentforce melalui saluran email tool-action pada Custom Topics; Salesforce menyatakan telah 'melakukan remediation pada skenario spesifik yang dijelaskan' tetapi Capsule Security melakukan pengujian ulang dan melaporkan bahwa saluran email tetap dapat dieksploitasi pada Custom Topics.
Vektor serangan
ShareLeak: Penyerang mengisi field komentar/form SharePoint yang menghadap publik dengan payload prompt yang dirancang yang mencakup pesan fake system role. Copilot Studio menggabungkan input berbahaya dengan instruksi sistem agent tanpa sanitisasi, mengganti perilaku yang dimaksudkan dan mengarahkan exfiltrasi data melalui Outlook. PipeLeak menggunakan prinsip injection yang sama melalui saluran email tool-action Agentforce.
Sistem yang terdampak
Agent Microsoft Copilot Studio yang terhubung ke pemicu form SharePoint (semua tenant); deployment Salesforce Agentforce yang menggunakan Custom Topics dengan kemampuan email tool-action.
Mitigasi
Untuk Copilot Studio: Audit setiap agent yang dipicu oleh form SharePoint untuk IoCs (peristiwa Outlook send yang tidak terduga, kueri data SharePoint yang tidak biasa). Tinjau dan perkuat instruksi sistem agent; terapkan validasi input di layer form. Untuk Agentforce: Verifikasi bahwa konfirmasi Human-in-the-Loop (HITL) diaktifkan pada semua tindakan agentic berbasis email, termasuk Custom Topics — jangan mengandalkan pengaturan default saja. Pantau saluran advisory keamanan Salesforce untuk penugasan CVE dan patch resmi untuk PipeLeak.