Des failles d’injection rapide dans Microsoft Copilot Studio et Salesforce Agentforce permettent aux attaquants d’utiliser les entrées de formulaire comme une arme pour contourner le comportement des agents et exfiltrer les données sensibles des clients et de l’entreprise.
Les agents Enterprise AI sont censés rationaliser les flux de travail. Au lieu de cela, deux nouvelles découvertes montrent qu’ils peuvent tout aussi facilement rationaliser l’exfiltration des données.
Les chercheurs en sécurité ont découvert des vulnérabilités d’injection d’invite dans Microsoft Copilot Studio et Salesforce Agentforce qui permettent aux attaquants d’exécuter des instructions malveillantes via des invites apparemment inoffensives.
Selon les conclusions de Capsule Security, les formulaires SharePoint et les formulaires pour prospects publics dans Copilot sont vulnérables aux attaquants qui émettent des invites qui peuvent outrepasser l’intention du système et déclencher l’exfiltration de données vers des serveurs contrôlés par des attaquants.
L’une de ces failles s’est déjà vu attribuer une CVE de haute gravité, tandis qu’une autre « critique » n’aurait pas atteint la barre de catégorisation. Les failles peuvent permettre le vol de données personnelles, d’enregistrements clients/prospects, de contexte commercial en texte libre et de données opérationnelles/flux de travail.
ShareLeak : fuite de données de formulaires SharePoint via Copilot
Le problème côté Microsoft, surnommé « ShareLeak », concerne la façon dont les agents Copilot Studio traitent les soumissions de formulaires SharePoint. L’attaque commence par une charge utile contrefaite insérée dans un champ de formulaire standard, comme des « commentaires », que l’agent ingère ensuite dans le cadre de son contexte opérationnel.
Étant donné que le système concatène les entrées de l’utilisateur avec les invites du système, la charge utile injectée remplace les instructions d’origine de l’agent. Le modèle est ainsi trompé en lui faisant croire que les instructions de l’attaquant sont des directives système légitimes. L’entrée malveillante passe de la soumission du formulaire à l’exécution de l’agent sans aucune résistance.
Une fois compromis, l’agent peut accéder aux listes SharePoint connectées et extraire les données sensibles des clients, notamment les noms, adresses, numéros de téléphone, et les envoyer en externe par e-mail. Les chercheurs ont découvert que même lorsque les mécanismes de sécurité de Microsoft signalaient un comportement suspect, les données étaient exfiltrées.
La cause première est qu’il n’existe pas de séparation fiable entre les instructions système fiables et les données utilisateur non fiables. Dans la configuration existante, l’IA ne peut pas faire la distinction entre les deux, ont indiqué les chercheurs.
Microsoft a corrigé le problème suite à la divulgation, en lui attribuant le CVE-2026-21520 et en évaluant sa gravité à 7,5 sur 10 sur l’échelle CVSS. L’atténuation a été réalisée en interne et aucune autre action n’est requise de la part des utilisateurs.
PipeLeak : Salesforce Agentforce détourné par un simple lead
Dans le cas de Salesforce Agentforce, les attaquants intègrent des instructions malveillantes dans un formulaire de prospect public. Lorsqu’un utilisateur interne demande ultérieurement à l’agent d’examiner ou de traiter cette piste, l’agent exécute les instructions intégrées comme si elles faisaient partie de sa tâche.
Selon une démonstration Capsule, l’agent récupère les données CRM via la fonction « GetLeadsInformation » puis les envoie en externe par email.
Le compromis ne se limite pas à un seul disque. Les chercheurs ont démontré qu’un agent piraté pouvait interroger et exfiltrer plusieurs enregistrements de prospects en masse, transformant ainsi une soumission de formulaire unique en un pipeline d’extraction de base de données.
Les chercheurs ont déclaré que Salesforce reconnaissait le problème d’injection rapide, mais qualifiait le vecteur d’exfiltration de « spécifique à la configuration », pointant vers des contrôles facultatifs de l’homme dans la boucle (HITL). Le refus de Capsule sur ce cadre soutient que le fait d’exiger des approbations manuelles compromet l’objectif même des agents autonomes.
Le problème le plus profond, ont-ils noté, concerne les défauts de paiement non sécurisés. Les systèmes conçus pour l’automatisation ne doivent pas permettre à des entrées non fiables de redéfinir les objectifs des agents.
Les deux divulgations convergent vers une ligne de base qui appelle à traiter toutes les entrées externes comme non fiables et à mettre en place des filtres qui séparent les données des instructions. Cela impliquerait d’appliquer la validation des entrées, l’accès au moindre privilège et des contrôles stricts sur des actions telles que le courrier électronique sortant.
