기술 설명
VentureBeat는 4월 15-16일에 Microsoft가 2026년 1월에 Copilot Studio에서 CVE-2026-21520(CVSS 7.5)을 패치했음에도 불구하고 간접 프롬프트 인젝션을 통한 데이터 유출이 여전히 가능하다고 보도했습니다. Capsule Security의 'ShareLeak'는 SharePoint 양식 제출과 에이전트의 컨텍스트 윈도우 간의 격차를 악용하여 가짜 시스템 역할 메시지를 주입해 에이전트 지침을 재정의한 후 Outlook을 통해 SharePoint 고객 데이터를 유출합니다. 별도로 'PipeLeak'는 Custom Topics의 이메일 도구 액션 채널을 통해 Salesforce Agentforce에 영향을 미칩니다. Salesforce는 '설명된 특정 시나리오를 해결했다'고 밝혔지만 Capsule Security가 재테스트한 결과 이메일 채널이 Custom Topics에서 계속 악용 가능한 상태입니다.
공격 경로
ShareLeak: 공격자가 가짜 시스템 역할 메시지를 포함하는 정교한 프롬프트 페이로드로 공개 면상의 SharePoint 댓글/양식 필드를 채웁니다. Copilot Studio는 악의적인 입력을 에이전트 시스템 지침과 함께 연결하되 새니타이제이션 없이 의도된 동작을 재정의하고 Outlook을 통한 데이터 유출을 지시합니다. PipeLeak는 Agentforce의 이메일 도구 액션 채널을 통해 동일한 인젝션 원리를 사용합니다.
영향받는 시스템
SharePoint 양식 트리거에 연결된 Microsoft Copilot Studio 에이전트(모든 테넌트); 이메일 도구 액션 기능이 있는 Custom Topics를 사용하는 Salesforce Agentforce 배포.
완화 방안
Copilot Studio의 경우: SharePoint 양식으로 트리거된 모든 에이전트를 IoC에 대해 감사(예상치 못한 Outlook 전송 이벤트, 비정상적인 SharePoint 데이터 쿼리). 에이전트 시스템 지침을 검토 및 강화하고 양식 계층에서 입력 유효성 검사를 적용합니다. Agentforce의 경우: Custom Topics를 포함한 모든 이메일 기반 에이전트 액션에서 Human-in-the-Loop(HITL) 확인이 활성화되어 있는지 확인하세요. 기본 설정만으로는 안 됩니다. PipeLeak에 대한 CVE 할당 및 공식 패치에 대해 Salesforce의 보안 권고 채널을 모니터링하세요.