Агенты ИИ для корпоративного сектора, как известно, способны оптимизировать рабочие процессы. Но они также могут стать причиной утечки данных — как выяснили исследователи безопасности из Capsule Security. Они обнаружили уязвимости Prompt Injection как в Microsoft Copilot Studio, так и в Salesforce Agentforce.
В обоих случаях это позволяет злоумышленникам внедрять вредоносные команды через, казалось бы, безобидные запросы (промпты) — с потенциально разрушительными последствиями.
Copilot сливает данные SharePoint
Суть проблемы, названной «ShareLeak» на стороне Microsoft, заключается в том, как агенты Copilot Studio обрабатывают формы SharePoint. Атака начинается с внедрения вредоносного полезной нагрузки в стандартное поле формы (например, «Комментарии»). Позже эта нагрузка попадает в ИИ-агента в рамках его операционного контекста. Поскольку ИИ-система связывает пользовательский ввод с системными промптами, «внедренная» полезная нагрузка перезаписывает исходные инструкции агента. Таким образом, ИИ-модель рассматривает команды злоумышленника как легитимные системные директивы — вредоносный ввод выполняется агентом без какого-либо сопротивления.
Как только агент скомпрометирован таким образом, становится возможным:
- получать доступ к подключенным спискам SharePoint,
- извлекать конфиденциальные данные клиентов и
- отправлять их по электронной почте.
Как выяснили исследователи, данные эксфильтровались даже в тех случаях, когда механизмы безопасности Microsoft сообщали о подозрительной активности. «Основная причина в том, что отсутствует надежное разделение между доверенными системными инструкциями и недоверенными пользовательскими данными. В существующей конфигурации ИИ не может их различить», — отмечают эксперты по безопасности.
Microsoft уже выпустила исправление, которое устранило проблему. Уязвимость оценена в 7,5 из 10 по шкале CVSS. От пользователей никаких дополнительных действий не требуется.
Agentforce захватывает формы лидов
В случае с Salesforce Agentforce исследователи Capsule смогли встроить вредоносные инструкции в общедоступную форму лида, которые затем выполнялись через «Agent Flow» с функциями электронной почты. Когда внутренний пользователь позже поручает агенту Agentforce проверить или обработать этот лид, агент выполняет инструкции и эксфильтрует конфиденциальные данные. «Это приводит к несанкционированному раскрытию данных и потенциально массовой эксфильтрации данных CRM», — пишут исследователи.
Массовой, потому что компрометация не ограничивается одним набором данных: по словам экспертов Capsule, захваченный агент может одновременно запрашивать и эксфильтровать несколько записей лидов, превращая однократную отправку формы в конвейер для извлечения данных из базы. По мнению исследователей, Salesforce признала проблему Prompt Injection, но классифицировала вектор эксфильтрации как «специфичный для конфигурации» и указала на опциональные элементы управления Human-in-the-Loop. Исследователи безопасности из Capsule не согласны с этой оценкой, утверждая, что ручные подтверждения подрывают саму цель автономных агентов.
Настоящая проблема, по мнению исследователей, заключается в небезопасных настройках по умолчанию. Системы, предназначенные для автоматизации, не должны допускать, чтобы недоверенные вводы могли переопределять цели агентов.
Что следует предпринять компаниям
Обе уязвимости сводятся к одному основному требованию: все внешние вводы должны рассматриваться как недоверенные. Рекомендуется также настроить фильтры, разделяющие данные и инструкции. Это подразумевает внедрение следующих мер:
- проверка вводимых данных (Input Validation),
- доступ по принципу наименьших привилегий (Least-Privilege Access), а также
- строгие меры контроля для таких вещей, как исходящие электронные письма.
(фм)
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
