Microsoft исправила уязвимость CVE-2026-21520 в Copilot Studio, однако информация все равно утекла. Это происшествие подчеркивает важность осознания новых рисков для компаний, использующих агентные платформы.
Контекст инцидента
Уязвимость, присвоенная CVE-2026-21520, была выявлена компанией Capsule Security. Она связана с «косвенной инъекцией команд», и её серьезность оценили на уровне 7.5 по шкале CVSS. Capsule обнаружила этот недостаток 24 ноября 2025 года. Microsoft подтвердила его 5 декабря, а патч опубликовала 15 января 2026 года. Однако для таких платформ, как Copilot Studio, естественно, новая уязвимость влечет за собой дополнительные риски.
Детали уязвимости
Исследование показало, что уязвимость, названная ShareLeak, позволила злоумышленникам использовать специальный код, внедренный в публичную форму SharePoint, для управления данными. Например, система могла отправить конфиденциальные данные на контролируемый злоумышленниками адрес электронной почты без каких-либо уведомлений.
По словам Carter Rees, вице-президента компании Reputation, архитектурная ошибка заключается в том, что LLM не может различать доверенные команды и ненадежные входные данные. Это позволяет злоумышленнику манипулировать системой без необходимости аутентификации для этой операции.
Практическое значение
Для директоров по безопасности, управляющих агентами Copilot Studio, настоятельно рекомендуется провести аудит своих систем на наличие признаков компрометации. Учитывая, что уязвимости такого типа сложно полностью устранить с помощью патчей, важно принимать меры по защите данных и обучения сотрудников.
Необходимо отметить, что это уже не первый случай, когда уязвимости в агентных системах подвергаются публичному обсуждению. Например, в сентябре 2025 года был выявлен аналогичный случай с Agentforce, связанным с несоответствием aутентификации. Эти инциденты акцентируют внимание индустрии на необходимости уделять особое внимание безопасности программного обеспечения.
В ближайшие месяцы компании, использующие платформы с агентами, могут ожидать дополнительных рекомендаций по устранению подобных рисков и рекомендаций от вендоров на предмет оптимизации защиты своих систем.