Microsoft baru-baru ini menetapkan CVE-2026-21520, sebuah kerentanan indirect prompt injection dengan CVSS 7.5, untuk Copilot Studio. Capsule Security menemukan celah ini dan berkoordinasi dengan Microsoft untuk penanganannya, yang berlangsung pada 15 Januari. Pengumuman publiknya dilakukan pada hari Rabu.
Yang menarik dari CVE ini bukan hanya apa yang diperbaiki, tetapi juga apa yang ditandakan. Penelitian Capsule menilai bahwa keputusan Microsoft untuk memberikan CVE pada kerentanan prompt injection di platform agentik adalah langkah yang “sangat tidak biasa.” Sebelumnya, Microsoft juga mengeluarkan CVE-2025-32711 (CVSS 9.3) untuk EchoLeak, yang merupakan prompt injection di M365 Copilot yang diperbaiki pada Juni 2025, tapi itu menyasar asisten produktivitas, bukan platform pembangun agen. Jika preseden ini meluas ke sistem agentik secara umum, setiap perusahaan yang menjalankan agen akan mewarisi kelas kerentanan baru yang perlu diwaspadai. Celah ini tidak bisa sepenuhnya dihilangkan hanya dengan patch saja.
Capsule juga menemukan apa yang mereka sebut PipeLeak, sebuah kerentanan parallel indirect prompt injection di Salesforce Agentforce. Microsoft sudah mengeluarkan patch dan memberikan CVE, sementara Salesforce hingga publikasi ini belum memberikan CVE atau advis publik untuk PipeLeak menurut penelitian Capsule.
Apa itu ShareLeak
Kerentanan yang dinamakan ShareLeak oleh para peneliti mengeksploitasi celah antara pengisian formulir SharePoint dan jendela konteks agen Copilot Studio. Seorang penyerang mengisi kolom komentar yang terlihat publik dengan payload yang dibuat khusus yang menyisipkan pesan peran sistem palsu. Dalam pengujian Capsule, Copilot Studio menggabungkan input jahat ini langsung dengan instruksi sistem agen tanpa adanya sanitasi input antara formulir dan model.
Payload yang disisipkan ini mengesampingkan instruksi asli agen dalam contoh buktinya, mengarahkan untuk menanyakan data pelanggan dari SharePoint Lists yang terhubung dan mengirimkan data itu melalui Outlook ke alamat email yang dikuasai oleh penyerang. NVD mengklasifikasikan serangan ini sebagai memiliki kompleksitas rendah dan tidak memerlukan keistimewaan.
Mekanisme keselamatan milik Microsoft sendiri menganggap permintaan ini mencurigakan selama pengujian Capsule. Namun, data tetap saja berhasil diambil. DLP tidak aktif karena emailnya diarahkan melalui tindakan Outlook yang sah, yang dianggap sistem sebagai operasi yang diizinkan.
Carter Rees, VP Kecerdasan Buatan di Reputation, menjelaskan kegagalan arsitektur ini dalam wawancara eksklusif dengan VentureBeat. LLM tidak bisa membedakan secara inheren antara instruksi yang tepercaya dan data yang tidak terpercaya, kata Rees. Ini menjadi agen bingung yang bertindak atas nama penyerang. OWASP mengklasifikasikan pola ini sebagai ASI01: Agent Goal Hijack.
Tim penelitian di balik temuan ini, Capsule Security, menemukan kerentanan di Copilot Studio pada 24 November 2025. Microsoft mengonfirmasi pada 5 Desember dan memperbaikinya pada 15 Januari 2026. Setiap direktur keamanan yang menjalankan agen Copilot Studio yang dipicu oleh formulir SharePoint harus memeriksa jendela tersebut untuk indikator adanya gangguan.
PipeLeak dan Pembagian Salesforce
PipeLeak memanfaatkan kelas kerentanan yang sama dengan cara yang berbeda. Dalam pengujian Capsule, payload dari formulir lead publik berhasil menguasai agen Agentforce tanpa memerlukan autentikasi. Capsule menemukan tidak ada batas volume pada data CRM yang diekstrak, dan karyawan yang memicu agen tidak mendapatkan indikasi bahwa data sudah keluar. Hingga kini, Salesforce belum memberikan CVE atau advis publik terkait PipeLeak.
Capsule bukanlah tim penelitian pertama yang menemukan indirect prompt injection di Agentforce. Noma Labs mengungkapkan ForcedLeak (CVSS 9.4) pada September 2025, dan Salesforce sudah memperbaiki celah tersebut dengan memberlakukan whitelist URL terpercaya. Menurut penelitian Capsule, PipeLeak masih bisa melalui patch tersebut lewat saluran yang berbeda: email melalui tindakan alat yang diizinkan agen.
Naor Paz, CEO Capsule Security, mengatakan kepada VentureBeat bahwa pengujian tidak menemui batasan dalam eksfiltrasi data. “Kami tidak menemukan batasan apa pun,” kata Paz. “Agen hanya terus menerus mengungkapkan semua CRM.”
Salesforce merekomendasikan penggunaan sistem human-in-the-loop sebagai mitigasi. Namun, Paz menolak pendapat itu. “Jika manusia harus menyetujui setiap operasi, itu bukan agen sebenarnya,” katanya kepada VentureBeat. “Itu hanya manusia yang mengklik melalui tindakan agen.”
Microsoft telah memperbaiki ShareLeak dan memberikan CVE untuk itu. Menurut penelitian Capsule, Salesforce sudah memperbaiki jalur URL dari ForcedLeak, tetapi tidak pada saluran email.
Tiga Faktor Mematikan dan Mengapa Manajemen Postur Gagal
Paz menyebutkan kondisi struktural yang membuat setiap agen bisa dieksploitasi: akses ke data pribadi, paparan terhadap konten yang tidak tepercaya, dan kemampuan untuk berkomunikasi secara eksternal. ShareLeak memenuhi ketiga syarat tersebut. PipeLeak juga memenuhi semua syarat tersebut. Sebagian besar agen produksi memenuhi ketiga syarat ini karena kombinasi inilah yang membuat agen berguna.
Rees mengonfirmasi diagnosis ini secara independen. Pertahanan berlapis yang didasarkan pada aturan deterministik tidak cukup untuk sistem agentik, kata Rees kepada VentureBeat.
Elia Zaitsev, CTO dari CrowdStrike, menyatakan bahwa pola pemikiran tentang patch itu sendiri adalah kerentanan. “Orang-orang melupakan keamanan pada runtime,” katanya. “Mari kita perbaiki semua kerentanan. Itu tidak mungkin. Selalu ada yang terlewat.” Mengamati tindakan kinetik sebenarnya adalah masalah yang terstruktur dan dapat diselesaikan, kata Zaitsev kepada VentureBeat. Niat tidak bisa. Sensor Falcon dari CrowdStrike mengikuti pohon proses dan melacak apa yang dilakukan agen, bukan apa yang tampaknya mereka niatkan.
Crescendo Multi-Turn dan Titik Buta pada Agen Kode
Inject prompt satu kali adalah ancaman dasar. Penelitian Capsule mendokumentasikan serangan crescendo multi-turn di mana lawan mendistribusikan payload melalui beberapa langkah yang tampak tidak mencolok. Setiap langkah lolos dari pemeriksaan. Serangan ini baru terlihat saat dianalisis sebagai urutan.
Rees menjelaskan mengapa pemantauan saat ini gagal mendeteksi ini. WAF tanpa status melihat setiap langkah secara terpisah dan tidak mendeteksi ancaman, kata Rees kepada VentureBeat. Ia melihat permintaan, bukan trajek semantik.
Capsule juga menemukan kerentanan yang tidak diumumkan di platform agen pengkodean yang enggan mereka sebutkan, termasuk pencemaran memori yang bertahan di seluruh sesi dan eksekusi kode berbahaya melalui server MCP. Dalam satu kasus, penghalang di tingkat file yang dirancang untuk membatasi file mana yang bisa diakses oleh agen justru berhasil diakali oleh agen itu sendiri, yang menemukan jalur alternatif ke data yang sama. Rees mengidentifikasi vektor manusia: karyawan yang menempelkan kode rahasia ke LLM publik dan melihat keamanan sebagai friksi.
McGladrey menyoroti kegagalan dalam tata kelola. “Jika kejahatan adalah masalah teknologi, kita sudah lama menyelesaikan masalah kejahatan,” katanya kepada VentureBeat. “Risiko keamanan siber sebagai kategori terpisah adalah fiksi total.”
Model Penegakan Runtime
Capsule menghubungkan jalur eksekusi agentik yang diberikan oleh vendor — termasuk pengait keamanan Copilot Studio dan titik cek sebelum penggunaan alat Claude Code — tanpa proxy, gateway, atau SDK. Perusahaan ini keluar dari stealth pada hari Rabu, meluncurkan putaran pendanaan seed senilai $7 juta, dipimpin oleh Lama Partners bersama Forgepoint Capital International, bersamaan dengan pengumuman koordinasi mereka.
Chris Krebs, Direktur pertama CISA dan penasihat Capsule, menyoroti celah dalam istilah operasional. “Alat-alat lama tidak dirancang untuk memantau apa yang terjadi antara prompt dan tindakan,” kata Krebs. “Itu celah runtime.”
Arsitektur Capsule menerapkan model bahasa kecil yang terampil yang mengevaluasi setiap panggilan alat sebelum dieksekusi, pendekatan yang oleh panduan pasar Gartner disebut sebagai “guardian agent.”
Tidak semua orang setuju bahwa analisis niat adalah lapisan yang tepat. Zaitsev mengatakan kepada VentureBeat dalam wawancara eksklusif bahwa deteksi berbasis niat tidak deterministik. “Analisis niat akan kadang-kadang berhasil. Analisis niat tidak bisa selalu berhasil,” katanya. CrowdStrike lebih fokus pada pengamatan apa yang benar-benar dilakukan agen daripada apa yang tampaknya mereka niatkan. Dokumentasi Copilot Studio milik Microsoft juga menyediakan webhook penyedia keamanan eksternal yang dapat menyetujui atau memblokir eksekusi alat, menawarkan kendali asli dari vendor bersama dengan opsi pihak ketiga. Tidak ada satu lapisan pun yang menutup celah. Analisis niat runtime, pemantauan tindakan kinetik, dan kontrol dasar (privilege terendah, sanitasi input, pembatasan outbound, serta human-in-the-loop yang terarah) semuanya harus ada dalam tumpukan. Tim SOC harus memetakan telemetri sekarang: log aktivitas Copilot Studio ditambah keputusan webhook, log audit CRM untuk Agentforce, dan data rantai proses EDR untuk agen pengkodean.
Paz menggambarkan pergeseran yang lebih luas. “Niat adalah perimeter baru,” katanya kepada VentureBeat. “Agen dalam runtime bisa saja memutuskan untuk berkhianat.”
Matriks Preskriptif VentureBeat
Matriks berikut memetakan lima kelas kerentanan terhadap kontrol yang sering terlewat dan tindakan spesifik yang harus diambil oleh direktur keamanan minggu ini.
|
Kelas Kerentanan |
Mengapa Kontrol Saat Ini Terlewat |
Apa yang Dilakukan Penegakan Runtime |
Tindakan yang Disarankan untuk Pemimpin Keamanan |
|
ShareLeak — Copilot Studio, CVE-2026-21520, CVSS 7.5, diperbaiki pada 15 Januari 2026 |
Penguji Capsule menemukan tidak ada sanitasi input antara formulir SharePoint dan konteks agen. Mekanisme keselamatan menandai, tetapi data tetap diekstrak. DLP tidak aktif karena email menggunakan tindakan Outlook yang sah. OWASP ASI01: Agent Goal Hijack. |
Guardian agent menghubungkan pengait keamanan pra-alat Copilot Studio. Memverifikasi setiap panggilan alat sebelum eksekusi. Memblokir eksfiltrasi di lapisan tindakan. |
Audit setiap agen Copilot Studio yang dipicu oleh formulir SharePoint. Batasi email outbound hanya untuk domain organisasi. Inventaris semua SharePoint Lists yang dapat diakses oleh agen. Tinjau jendela 24 November–15 Januari untuk indikator adanya gangguan. |
|
PipeLeak — Agentforce, belum ada CVE yang ditugaskan |
Dalam pengujian Capsule, input formulir publik mengalir langsung ke konteks agen. Tidak dibutuhkan autentikasi. Tidak ada batas volume yang diamati pada data CRM yang diekstrak. Karyawan tidak mendapatkan indikasi bahwa data sedang keluar. |
Intersepsi runtime melalui pengait agentik platform. Titik cek pra-invokasi untuk setiap panggilan alat. Mendeteksi transfer data outbound ke tujuan yang tidak disetujui. |
Tinjau semua otomasi Agentforce yang dipicu oleh formulir tampak publik. Aktifkan human-in-the-loop untuk komunikasi eksternal sebagai kontrol sementara. Audit cakupan akses data CRM per agen. Tekan Salesforce untuk penetapan CVE. |
|
Crescendo Multi-Turn — payload terdistribusi, setiap langkah tampak jinak |
Pemantauan tanpa status memeriksa setiap langkah secara terpisah. WAF, DLP, dan log aktivitas melihat permintaan individual, bukan trajek semantik. |
Analisis runtime berstatus melacak riwayat percakapan penuh di seluruh langkah. Model bahasa kecil yang terampil mengevaluasi konteks agregat. Mendeteksi ketika urutan kumulatif melanggar kebijakan. |
Memerlukan pemantauan berstatus untuk semua agen produksi. Tambahkan skenario serangan crescendo ke latihan tim merah. |
|
Agen Kode — platform tanpa nama, pencemaran memori + eksekusi kode |
Server MCP menyuntikkan kode dan instruksi ke dalam konteks agen. Pencemaran memori bertahan di seluruh sesi. Penghalang diatasi oleh agen itu sendiri. Shadow AI insiders menempelkan kode rahasia ke LLM publik. |
Titik cek pra-invokasi pada setiap panggilan alat. Model bahasa kecil yang terampil mendeteksi penggunaan alat anomali pada runtime. |
Inventaris semua implementasi agen pengkodean di seluruh rekayasa. Audit konfigurasi server MCP. Batasi izin eksekusi kode. Pantau untuk instalasi shadow. |
|
Celah Struktural — agen mana pun dengan data pribadi + input tidak tepercaya + komunikasi eksternal |
Manajemen postur memberitahu apa yang seharusnya terjadi. Ini tidak menghentikan apa yang sebenarnya terjadi. Agen menggunakan jauh lebih banyak izin daripada manusia dengan kecepatan yang jauh lebih tinggi. |
Guardian agent runtime memantau setiap tindakan secara real-time. Penegakan berbasis niat menggantikan deteksi tanda tangan. Memanfaatkan pengait agentik vendor, bukan proxy atau gateway. |
Klasifikasikan setiap agen berdasarkan paparan triad mematikan. Perlakukan prompt injection sebagai risiko SaaS berbasis kelas. Memerlukan keamanan runtime untuk setiap agen yang bergerak ke produksi. Brief dewan mengenai risiko agen sebagai risiko bisnis. |
Apa Artinya Ini untuk Perencanaan Keamanan 2026
Penetapan CVE oleh Microsoft akan mempercepat atau memecah cara industri menangani kerentanan agen. Jika vendor menyebutnya sebagai masalah konfigurasi, maka CISOs harus menanggung risiko sendirian.
Perlakukan prompt injection sebagai risiko SaaS tingkat kelas alih-alih hanya melihat dari perspektif CVE individual. Klasifikasikan setiap penerapan agen berdasarkan triad mematikan. Memerlukan penegakan runtime untuk segala sesuatu yang bergerak ke produksi. Brief dewan tentang risiko agen sebagaimana yang dijelaskan McGladrey: sebagai risiko bisnis, karena risiko keamanan siber sebagai kategori terpisah tidak lagi berguna begitu agen mulai beroperasi dengan kecepatan mesin.
