Les agents KI de Microsoft et Salesforce vous offrent des services et des prix raisonnables.
KI-Agenten fürs Enterprise peut optimiser son travail. C’est également le cas de l’exfiltration de données – comme le protège la sécurité de Capsule Security. Vous l’avez déjà fait dans Microsoft Copilot Studio ainsi que dans la suite Salesforce Agentforce Prompt-Injection-Schwachstellen.
Ces ermöglichen Angreifern in beiden Fällen schadhafte Befehle über scheinbar harmlose Prompts einzuschleusen – mit potenziell verheerenden Folgen.
Fuite du copilote Sharepoint-Daten
Lorsque « ShareLeak » rencontre un problème sur le site Microsoft lié au point de savoir-faire, comme le formulaire SharePoint de l’agent Copilot-Studio est utilisé. L’Angriff a commencé avec une charge utile manipulée, qui est entrée dans un champ de formulaire standard (et « Commentaires »). Ces vols se déroulent dans des zones opérationnelles de Kontexts dans les agents KI. Grâce aux entrées du système KI avec invites système, la charge utile « injizierte » est transmise aux réponses ursprünglichen des agents. Le modèle KI est géré par une source d’informations en tant que directive système légitime – la saisie automatique sans aucune des normes les plus larges des agents ausgeführt.
Sobald ein Agent auf this Art and Weise kompromittiert wurde, ist es demnach auch möglich,
- auf verbundene Sharepoint-Listen zuzugreifen,
- Kundendaten zu extrahieren et
- cese par E-Mail zu versenden.
Wie die Forscher feststellten, wurden Daten auto and exfiltriert, whenn die Sicherheitsmechanismen von Microsoft verdächtiges Verhalten meldeten. « Die Hauptursache dafür ist, dass es keine zuverlässige Trennung zwischen vertrauenswürdigen Systemanweisungen and no vertrauenswürdigen Benutzerdaten gibt. Dans la meilleure configuration, le KI ne peut pas être pris en charge », donc les experts en sécurité.
Microsoft a ajouté un patch qui résout le problème. Et le succès de sécurité avec un taux de 7,5 sur 10 au niveau du CVSS-Skala bewertet. Les pages du Benutzer ne contiennent que des masses différentes.
Formulaire Lead de Agentforce
En cas d’échec de Salesforce Agentforce, les instructions de Forscher von Capsule malicieuses sont intégrées dans un formulaire Lead-Formular très efficace, qui s’applique également à un « Agent Flow » avec des fonctions d’e-mail ausgeführt wurden. Nous avons un interne Benutzer d’un agent Agentforce qui s’occupe de ce responsable ou de l’exécution des travaux, afin de fournir ces réponses et d’exfiltrer des données sensibles. « Cela a entraîné une modification non autorisée des données et un potentiel de masse après l’exfiltration des données CRM », explique le Forscher.
Massenhaft deswegen, weil sich die Kompromittierung nicht auf einen einzelnen datensatz beschränkt: Laut den Capsule-Experten kann un gekaperter agent more Lead-Datensätze gleichzeitig abfragen and exfiltreren, wodurch a einzelne Formularübermittlung efficace zur Datenbank-Extractions-Pipeline werde. Le Forschern zufolge a Salesforce the Prompt-Injection-Problem zwar anerkannt, the Exfiltrations-Vektor jedoch as « configurations spezifisch » eingestuft et auf facultativement Human-in-the-Loop-Kontrollen verwiesen. La recherche de sécurité de la capsule étend la compréhension de la conception et de l’argumentation, des opérations manuelles de l’agent autonome propre à deux personnes sous la main.
Le problème propre, donc le Forscher, seien unsichere Standardeinstellungen. Pour le système de configuration d’automatisation, il n’est pas nécessaire de définir les entrées des entrées des agents qui ne sont pas définies.
Was Unternehmen tun sollten
Beide Sicherheitslücken laufen auf eine Grundvoraussetzung hinaus: Sämtliche external inputs sollten als nicht vertrauenswürdig behandelt werden. Et : Filtrer einzurichten, die Daten von Anweisungen trennen, ist zu empfehlen. Dies würde auch bedeuten, folgende Maßnahmen durchzusetzen:
- Validation des entrées,
- Moindre-privilège-Zugriff, sowie
- Strikte Kontrollmaßnahmen für Dinge wie ausgehende E-Mails.
(fm)
