Microsoft je dodijelio oznaku CVE-2026-21520, ranjivosti neizravnog prompt injectiona s CVSS ocjenom 7.5, platformi Copilot Studio. Tvrtka Capsule Security otkrila je propust, koordinirala objavu s Microsoftom, a zakrpa je implementirana 15. siječnja. Javna objava objavljena je u srijedu.
Ta CVE oznaka manje je važna zbog onoga što ispravlja, a više zbog onoga što signalizira. Istraživanje Capsulea opisuje Microsoftovu odluku da dodijeli CVE ranjivosti prompt injectiona u agentskoj platformi kao “vrlo neuobičajenu”. Microsoft je ranije dodijelio CVE-2025-32711 (CVSS 9.3) ranjivosti EchoLeak, prompt injectionu u M365 Copilotu zakrpanom u lipnju 2025., no to se odnosilo na asistenta za produktivnost, a ne platformu za izgradnju agenata. Ako se taj presedan proširi na agentske sustave općenito, svaka organizacija koja koristi agente dobiva novu klasu ranjivosti za praćenje. Problem je što se ta klasa ne može u potpunosti ukloniti samo zakrpama.
Capsule je također otkrio ono što nazivaju PipeLeak, paralelnu ranjivost neizravnog prompt injectiona u Salesforce Agentforceu. Microsoft je zakrpao problem i dodijelio CVE. Salesforce, prema Capsuleovu istraživanju, do trenutka objave nije dodijelio CVE niti izdao javno upozorenje za PipeLeak.
Sadržaj objave
Ranjivost koju su istraživači nazvali ShareLeak iskorištava razmak između unosa u SharePoint formi i kontekstnog prozora agenta u Copilot Studiju. Napadač unosi posebno oblikovan payload u javno dostupno polje za komentare koji ubacuje lažnu sistemsku poruku. U testiranju Capsulea, Copilot Studio je spojio zlonamjerni unos izravno s instrukcijama sustava bez ikakve sanitizacije ulaza.
Ubrizgani payload prepisao je izvorne instrukcije agenta i naložio mu da dohvaća podatke o korisnicima iz povezanih SharePoint lista te ih šalje putem Outlooka na e-mail adresu pod kontrolom napadača. Nacionalna baza ranjivosti (NVD) klasificira napad kao niske složenosti i bez potrebe za privilegijama.
Microsoftovi sigurnosni mehanizmi označili su zahtjev kao sumnjiv tijekom testiranja, ali su podaci ipak izvučeni. DLP sustav nije reagirao jer je e-mail poslan kroz legitimnu Outlook akciju koju je sustav smatrao autoriziranom.
Carter Rees, potpredsjednik za umjetnu inteligenciju u tvrtki Reputation, opisao je arhitekturni problem: LLM ne može inherentno razlikovati pouzdane instrukcije od nepouzdanih podataka. Postaje tzv. “zbunjeni posrednik” koji djeluje u ime napadača. OWASP ovaj obrazac klasificira kao ASI01: Agent Goal Hijack.
Capsule Security otkrio je ranjivost u Copilot Studiju 24. studenog 2025., Microsoft ju je potvrdio 5. prosinca, a zakrpa je objavljena 15. siječnja 2026. Svi sigurnosni timovi koji koriste Copilot Studio agente povezane sa SharePoint formama trebaju analizirati to razdoblje zbog mogućih kompromitacija.
PipeLeak i razlika kod Salesforcea
PipeLeak cilja istu klasu ranjivosti, ali kroz drugi ulaz. U testiranju Capsulea, payload iz javnog lead obrasca preuzeo je kontrolu nad Agentforce agentom bez autentifikacije. Nije uočeno ograničenje količine izvučenih CRM podataka, a zaposlenik nije dobio nikakvu obavijest o curenju podataka.
Capsule nije prvi koji je pronašao ovakvu ranjivost. Noma Labs je još u rujnu 2025. objavio ForcedLeak (CVSS 9.4), koji je Salesforce zakrpao putem allowlista pouzdanih URL-ova. Međutim, PipeLeak zaobilazi tu zaštitu koristeći e-mail kanal.
CEO Capsule Securityja, Naor Paz, izjavio je da nisu naišli na ograničenje eksfiltracije: agent je kontinuirano odavao CRM podatke.
Salesforce je predložio “human-in-the-loop” kao rješenje, no Paz smatra da to poništava svrhu agenata: ako čovjek mora potvrditi svaku akciju, agent zapravo nije autonoman.
Microsoft je zakrpao ShareLeak i dodijelio CVE, dok Salesforce prema dostupnim podacima nije u potpunosti riješio sve kanale napada.
Strukturni problem: “smrtonosna trojka”
Paz definira ključni uvjet ranjivosti agenata:
- pristup privatnim podacima
- izloženost nepouzdanom sadržaju
- mogućnost vanjske komunikacije
ShareLeak i PipeLeak imaju sva tri elementa — kao i većina produkcijskih agenata.
Zašto klasična sigurnost ne funkcionira
Tradicionalni sigurnosni pristupi temelje se na pravilima i konfiguraciji, ali to nije dovoljno za agentske sustave. Kako ističe CrowdStrike CTO Elia Zaitsev, nije moguće zakrpati sve ranjivosti — uvijek će nešto promaknuti.
Umjesto toga, fokus se pomiče na runtime sigurnost, odnosno praćenje stvarnih akcija agenata, a ne njihovih namjera.
Multi-turn napadi i novi izazovi
Capsule je dokumentirao i složenije napade gdje se payload raspoređuje kroz više interakcija. Svaki pojedini zahtjev izgleda bezopasno, ali tek u kombinaciji dolazi do napada.
Klasični sustavi poput WAF-a ne mogu detektirati takve obrasce jer promatraju zahtjeve izolirano, bez konteksta.
Problem coding agenata
Otkrivene su i ranjivosti u platformama za coding agente:
- “trovanje memorije” koje traje kroz više sesija
- izvršavanje zlonamjernog koda kroz MCP servere
- zaobilaženje zaštitnih ograda od strane samog agenta
Dodatni problem je ljudski faktor — zaposlenici često unose osjetljiv kod u javne LLM-ove.
Novi model: runtime enforcement
Capsule koristi pristup koji nadzire svaku akciju agenta u realnom vremenu putem tzv. “guardian agenata” — modela koji procjenjuju svaku akciju prije izvršenja.
No ne postoji jedno rješenje. Potrebna je kombinacija:
- kontrola pristupa (least privilege)
- sanitizacija ulaza
- ograničenje izlaznih komunikacija
- runtime nadzor
- selektivni human-in-the-loop
Što to znači za sigurnost u 2026.
Dodjela CVE oznake od strane Microsofta mogla bi promijeniti način na koji industrija tretira ranjivosti agenata.
Ključna preporuka:
- tretirati prompt injection kao klasu rizika, ne pojedinačne slučajeve
- klasificirati sve agente prema “smrtonosnoj trojci”
- uvesti runtime sigurnost za sve produkcijske sustave
Zaključno, sigurnost agenata više nije samo tehničko pitanje — postaje poslovni rizik koji zahtijeva strateški pristup.