詳細を読む
Capsule Securityは2026年4月15日、Microsoft Copilot Studioに存在した間接プロンプトインジェクション脆弱性「ShareLeak」(CVE-2026-21520、CVSS 7.5)の詳細を公開しました。同社は2025年11月に脆弱性を発見し、Microsoftが2026年1月15日にパッチを適用しましたが、テストではパッチ後もデータが流出することが確認されています。
ShareLeakの攻撃手法は、SharePointの公開フォームに悪意あるペイロードを投入し、Copilot Studioエージェントのシステム指示を上書きするものです。エージェントは接続先のSharePoint Listsから顧客データを取得し、攻撃者のメールアドレスへOutlook経由で送信します。Microsoftのセーフティ機構は不審な操作として検知したものの、DLP(データ損失防止)は正規のOutlookアクションとして処理したため、流出を阻止できませんでした。
同社はSalesforce Agentforceにも同種の脆弱性「PipeLeak」を発見しています。公開リードフォームから認証なしでエージェントを乗っ取り、CRMデータを無制限に流出させることが可能でした。Salesforceは2025年9月に別の脆弱性ForcedLeakをパッチ済みですが、PipeLeakはメール経由という別経路を利用するため、そのパッチを回避します。Salesforceは本件についてCVEを割り当てておらず、公式アドバイザリも出していません。
Capsule SecurityのCEO、Naor Paz氏はこの問題の根本原因を「致命的な三要素」と名付けました。機密データへのアクセス、信頼できないコンテンツへの露出、外部との通信能力の3つが揃う環境は、あらゆるエージェントを攻撃可能にします。CrowdStrikeのCTO、Elia Zaitsev氏は「パッチですべての脆弱性を塞ぐのは不可能だ」と述べ、ランタイムセキュリティの重要性を指摘しています。
Capsule Securityは同日、Lama Partners主導による700万ドルのシードラウンドを発表し、ステルスモードから脱却しました。同社のアーキテクチャは、ベンダー提供のエージェント実行フックに接続し、ファインチューニングされた小規模言語モデルがすべてのツール呼び出しを実行前に評価する「ガーディアンエージェント」方式を採用しています。Microsoftが今回プロンプトインジェクションにCVEを割り当てた判断は業界全体に波及する可能性があり、エージェントAIのセキュリティを従来のパッチ管理ではなく、ランタイム監視を含む多層防御として再構築する必要性を示しています。