Microsoft atribuído CVE-2026-21520uma vulnerabilidade de injeção indireta de prompt CVSS 7.5, para o Copilot Studio. Segurança da Cápsula descobriu a falha, coordenou a divulgação com a Microsoft e o patch foi implantado em 15 de janeiro. A divulgação pública foi ao ar na quarta-feira.
Esse CVE importa menos pelo que corrige e mais pelo que sinaliza. A pesquisa da Capsule chama a decisão da Microsoft de atribuir um CVE a uma vulnerabilidade de injeção imediata em uma plataforma agente de “altamente incomum”. A Microsoft atribuiu anteriormente CVE-2025-32711 (CVSS 9.3) para EchoLeak, uma injeção imediata no M365 Copilot corrigida em junho de 2025, mas que tinha como alvo um assistente de produtividade, não uma plataforma de construção de agente. Se o precedente se estender amplamente aos sistemas de agentes, toda empresa que executa agentes herdará uma nova classe de vulnerabilidade para rastrear. Exceto que esta classe não pode ser totalmente eliminada apenas pelos patches.
A Capsule também descobriu o que eles chamam de PipeLeak, uma vulnerabilidade paralela de injeção indireta de prompt no Salesforce Agentforce. A Microsoft corrigiu e atribuiu um CVE. A Salesforce não atribuiu um CVE nem emitiu um comunicado público para o PipeLeak até a publicação, de acordo com a pesquisa da Capsule.
O que o ShareLeak realmente faz
A vulnerabilidade que os pesquisadores chamaram de ShareLeak explora a lacuna entre o envio de um formulário do SharePoint e a janela de contexto do agente Copilot Studio. Um invasor preenche um campo de comentários público com uma carga criada que injeta uma mensagem falsa de função do sistema. Nos testes do Capsule, o Copilot Studio concatenou a entrada maliciosa diretamente com as instruções do sistema do agente, sem higienização de entrada entre o formulário e o modelo.
A carga útil injetada substituiu as instruções originais do agente na prova de conceito do Capsule, direcionando-o para consultar listas do SharePoint conectadas em busca de dados do cliente e enviar esses dados via Outlook para um endereço de e-mail controlado pelo invasor. O NVD classifica o ataque como de baixa complexidade e não requer privilégios.
Os próprios mecanismos de segurança da Microsoft sinalizaram a solicitação como suspeita durante os testes do Capsule. Os dados foram exfiltrados de qualquer maneira. O DLP nunca foi acionado porque o email foi roteado por meio de uma ação legítima do Outlook que o sistema tratou como uma operação autorizada.
Carter Rees, vice-presidente de Inteligência Artificial da Reputaçãodescreveu a falha arquitetônica em uma entrevista exclusiva da VentureBeat. O LLM não consegue distinguir inerentemente entre instruções confiáveis e dados recuperados não confiáveis, disse Rees. Torna-se um deputado confuso agindo em nome do agressor. OWASP classifica este padrão como ASI01: Sequestro de meta do agente.
A equipe de pesquisa por trás de ambas as descobertas, Capsule Security, encontrou a vulnerabilidade do Copilot Studio em 24 de novembro de 2025. A Microsoft a confirmou em 5 de dezembro e corrigiu-a em 15 de janeiro de 2026. Cada diretor de segurança que executa agentes do Copilot Studio acionados por formulários do SharePoint deve auditar essa janela em busca de indicadores de comprometimento.
PipeLeak e a divisão do Salesforce
PipeLeak atinge a mesma classe de vulnerabilidade através de uma porta de entrada diferente. Nos testes do Capsule, uma carga útil de formulário de lead público sequestrou um agente Agentforce sem necessidade de autenticação. A Capsule não encontrou nenhum limite de volume nos dados de CRM exfiltrados, e o funcionário que acionou o agente não recebeu nenhuma indicação de que os dados haviam saído do prédio. A Salesforce não atribuiu um CVE nem emitiu um comunicado público específico para o PipeLeak até a publicação.
Capsule não é a primeira equipe de pesquisa a atingir a Agentforce com injeção indireta imediata. Noma Labs divulgado Vazamento forçado (CVSS 9.4) em setembro de 2025, e a Salesforce corrigiu esse vetor aplicando listas de permissões de URLs confiáveis. De acordo com a pesquisa da Capsule, o PipeLeak sobrevive a esse patch por meio de um canal diferente: e-mail por meio de ações de ferramentas autorizadas do agente.
Naor Paz, CEO da Capsule Security, disse ao VentureBeat que os testes não atingiram limite de exfiltração. “Não chegamos a nenhuma limitação”, disse Paz. “O agente continuaria vazando todo o CRM.”
A Salesforce recomendou a interação humana como uma atenuação. Paz empurrou de volta. “Se o humano aprovar cada operação, não é realmente um agente”, disse ele ao VentureBeat. “É apenas um humano clicando nas ações do agente.”
A Microsoft corrigiu o ShareLeak e atribuiu um CVE. De acordo com a pesquisa da Capsule, a Salesforce corrigiu o caminho da URL do ForceLeak, mas não o canal de e-mail.
Kayne McGladrey, membro sênior do IEEE, colocou a questão de forma diferente em uma entrevista separada da VentureBeat. As organizações estão clonando contas de usuários humanos para sistemas de agentes, disse McGladrey, exceto que os agentes usam muito mais permissões do que os humanos devido à velocidade, à escala e à intenção.
A trifeta letal e por que o gerenciamento da postura falha
Paz citou a condição estrutural que torna qualquer agente explorável: acesso a dados privados, exposição a conteúdo não confiável e capacidade de comunicação externa. ShareLeak atinge todos os três. PipeLeak atinge todos os três. A maioria dos agentes de produção atinge todos os três porque essa combinação é o que torna os agentes úteis.
Rees validou o diagnóstico de forma independente. A defesa profunda baseada em regras determinísticas é fundamentalmente insuficiente para sistemas de agentes, disse Rees ao VentureBeat.
Elia Zaitsev, CTO da CrowdStrike, chamou a própria mentalidade de patch de vulnerabilidade em um exclusivo VentureBeat separado. “As pessoas estão se esquecendo da segurança do tempo de execução”, disse ele. “Vamos corrigir todas as vulnerabilidades. Impossível. De alguma forma, sempre parece que falta alguma coisa.” Observar as ações cinéticas reais é um problema estruturado e solucionável, disse Zaitsev ao VentureBeat. A intenção não é. O sensor Falcon da CrowdStrike percorre a árvore de processos e rastreia o que os agentes fizeram, não o que pareciam pretender.
Crescendo multivoltas e o ponto cego do agente de codificação
As injeções imediatas de dose única são a ameaça de nível básico. A pesquisa da Capsule documentou ataques crescentes em múltiplas curvas, onde os adversários distribuem cargas úteis em múltiplas curvas de aparência benigna. Cada turno passa na inspeção. O ataque só se torna visível quando analisado como uma sequência.
Rees explicou por que o monitoramento atual não percebe isso. Um WAF sem estado vê cada curva no vácuo e não detecta nenhuma ameaça, disse Rees ao VentureBeat. Ele vê solicitações, não uma trajetória semântica.
A Capsule também encontrou vulnerabilidades não reveladas em plataformas de agentes de codificação que se recusou a nomear, incluindo envenenamento de memória que persiste durante sessões e execução de código malicioso através de servidores MCP. Em um caso, uma proteção em nível de arquivo projetada para restringir quais arquivos o agente poderia acessar foi fundamentada pelo próprio agente, que encontrou um caminho alternativo para os mesmos dados. Rees identificou o vetor humano: os funcionários colam código proprietário em LLMs públicos e veem a segurança como um atrito.
McGladrey foi direto ao fracasso da governança. “Se o crime fosse um problema tecnológico, já teríamos resolvido o crime há bastante tempo”, disse ele ao VentureBeat. “O risco de segurança cibernética como categoria independente é uma ficção completa.”
O modelo de aplicação de tempo de execução
O Capsule se conecta a caminhos de execução de agentes fornecidos pelo fornecedor — incluindo os ganchos de segurança do Copilot Studio e os pontos de verificação de pré-uso da ferramenta do Claude Code — sem proxies, gateways ou SDKs. A empresa saiu do sigilo na quarta-feira, cronometrando sua rodada inicial de US$ 7 milhões, liderada pela Lama Partners junto com a Forgepoint Capital International, para sua divulgação coordenada.
Chris Krebs, o primeiro Diretor da CISA e consultor da Cápsula, destacou a lacuna em termos operacionais. “As ferramentas legadas não foram criadas para monitorar o que acontece entre o prompt e a ação”, disse Krebs. “Essa é a lacuna do tempo de execução.”
A arquitetura da Capsule implanta modelos de linguagem pequena e ajustados que avaliam cada chamada de ferramenta antes da execução, uma abordagem que o guia de mercado do Gartner chama de “agente guardião”.
Nem todos concordam que a análise de intenções é a camada certa. Zaitsev disse ao VentureBeat durante uma entrevista exclusiva que a detecção baseada em intenção não é determinística. “A análise de intenções às vezes funciona. A análise de intenções nem sempre funciona”, disse ele. A CrowdStrike aposta em observar o que o agente realmente fez, e não o que ele parecia pretender. Documentação do próprio Copilot Studio da Microsoft fornece webhooks de provedores de segurança externos que podem aprovar ou bloquear a execução de ferramentas, oferecendo um plano de controle nativo do fornecedor junto com opções de terceiros. Nenhuma camada fecha a lacuna. Análise de intenção de tempo de execução, monitoramento de ação cinética e controles fundamentais (privilégio mínimo, higienização de entrada, restrições de saída, interação humana direcionada) pertencem todos à pilha. As equipes SOC devem mapear a telemetria agora: logs de atividades do Copilot Studio, além de decisões de webhook, logs de auditoria de CRM para Agentforce e dados de árvore de processos EDR para agentes de codificação.
Paz descreveu a mudança mais ampla. “A intenção é o novo perímetro”, disse ele ao VentureBeat. “O agente em tempo de execução pode decidir agir de forma desonesta com você.”
Matriz Prescritiva VentureBeat
A matriz a seguir mapeia cinco classes de vulnerabilidade em relação aos controles que não as detectam e as ações específicas que os diretores de segurança devem tomar esta semana.
|
Classe de vulnerabilidade |
Por que os controles atuais não percebem |
O que a aplicação do tempo de execução faz |
Ações sugeridas para líderes de segurança |
|
Compartilhar vazamento — Estúdio Copiloto, CVE-2026-21520CVSS 7.5, corrigido em 15 de janeiro de 2026 |
Os testes do Capsule não encontraram nenhuma higienização de entrada entre o formulário do SharePoint e o contexto do agente. Mecanismos de segurança sinalizados, mas os dados ainda foram exfiltrados. O DLP não foi acionado porque o email usou uma ação legítima do Outlook. OWASP ASI01: Sequestro de meta do agente. |
O agente Guardian se conecta aos ganchos de segurança pré-uso da ferramenta do Copilot Studio. Examina cada chamada de ferramenta antes da execução. Bloqueia a exfiltração na camada de ação. |
Audite cada agente do Copilot Studio acionado por formulários do SharePoint. Restrinja e-mails enviados a domínios somente organizacionais. Faça um inventário de todas as listas do SharePoint acessíveis aos agentes. Revise a janela de 24 de novembro a 15 de janeiro para obter indicadores de compromisso. |
|
Vazamento na tubulação — Agentforce, nenhum CVE atribuído |
Nos testes do Capsule, a entrada do formulário público fluiu diretamente para o contexto do agente. Não é necessária autenticação. Nenhum limite de volume observado nos dados de CRM exfiltrados. O funcionário não recebeu nenhuma indicação de que os dados estavam saindo. |
Interceptação de tempo de execução por meio de ganchos agentes de plataforma. Ponto de verificação pré-invocação em cada chamada de ferramenta. Detecta transferência de dados de saída para destinos não aprovados. |
Revise todas as automações do Agentforce acionadas por formulários públicos. Ative a interação humana para comunicações externas como controle provisório. Audite o escopo de acesso aos dados do CRM por agente. Pressionar o Salesforce para atribuição de CVE. |
|
Crescendo Multivoltas — carga útil distribuída, cada turno parece benigno |
O monitoramento sem estado inspeciona cada turno isoladamente. WAFs, DLP e logs de atividades veem solicitações individuais, não trajetória semântica. |
A análise de tempo de execução monitora o histórico completo de conversas entre turnos. SLMs ajustados avaliam o contexto agregado. Detecta quando uma sequência cumulativa constitui uma violação de política. |
Exigir monitoramento com estado para todos os agentes de produção. Adicione cenários de ataque crescente aos exercícios da equipe vermelha. |
|
Agentes de codificação — plataformas sem nome, envenenamento de memória + execução de código |
Os servidores MCP injetam código e instruções no contexto do agente. O envenenamento da memória persiste durante as sessões. Guardrails fundamentado pelo próprio agente. Os insiders da Shadow AI colam código proprietário em LLMs públicos. |
Ponto de verificação pré-invocação em cada chamada de ferramenta. SLMs ajustados detectam o uso anômalo de ferramentas em tempo de execução. |
Faça um inventário de todas as implantações de agentes de codificação em toda a engenharia. Audite as configurações do servidor MCP. Restrinja as permissões de execução de código. Monitore instalações de sombra. |
|
Lacuna Estrutural — qualquer agente com dados privados + entrada não confiável + comunicações externas |
O gerenciamento da postura informa o que deve acontecer. Não impede o que acontece. Os agentes usam muito mais permissões do que os humanos e com uma velocidade muito maior. |
O agente guardião em tempo de execução observa cada ação em tempo real. A aplicação baseada em intenção substitui a detecção de assinatura. Aproveita ganchos de agente do fornecedor, não proxies ou gateways. |
Classifique cada agente por exposição letal à trifeta. Trate a injeção imediata como um risco de SaaS baseado em classe. Exija segurança de tempo de execução para qualquer agente que esteja passando para produção. Informar o conselho sobre o risco do agente como risco comercial. |
O que isso significa para o planejamento de segurança para 2026
A atribuição CVE da Microsoft irá acelerar ou fragmentar a forma como a indústria lida com as vulnerabilidades dos agentes. Se os fornecedores chamam isso de problemas de configuração, os CISOs assumem sozinhos o risco.
Trate a injeção imediata como um risco de SaaS em nível de classe, em vez de CVEs individuais. Classifique cada implantação de agente em relação à trifeta letal. Exigir aplicação de tempo de execução para qualquer coisa que esteja sendo movida para produção. Informe o conselho sobre o risco dos agentes da forma como McGladrey o enquadrou: como risco de negócios, porque o risco de segurança cibernética como uma categoria autônoma deixou de ser útil no momento em que os agentes começaram a operar na velocidade da máquina.
