Microsoft assegnato CVE-2026-21520una vulnerabilità di tipo prompt injection indiretto CVSS 7.5, a Copilot Studio. Sicurezza della capsula ha scoperto il difetto, ha coordinato la divulgazione con Microsoft e la patch è stata distribuita il 15 gennaio. La divulgazione pubblica è iniziata mercoledì.
Quel CVE conta meno per ciò che risolve e più per ciò che segnala. La ricerca di Capsule definisce la decisione di Microsoft di assegnare un CVE a una vulnerabilità di pronta iniezione in una piattaforma ad agenti “altamente insolita”. Microsoft precedentemente assegnato CVE-2025-32711 (CVSS 9.3) a EchoLeak, una pronta iniezione in M365 Copilot patchata nel giugno 2025, ma che mirava a un assistente alla produttività, non a una piattaforma di creazione di agenti. Se il precedente si estende ampiamente ai sistemi ad agenti, ogni azienda che utilizza agenti eredita una nuova classe di vulnerabilità da monitorare. Solo che questa classe non può essere completamente eliminata solo con le patch.
Capsule ha anche scoperto quella che chiamano PipeLeak, una vulnerabilità di prompt injection indiretta parallela in Salesforce Agentforce. Microsoft ha corretto e assegnato un CVE. Secondo la ricerca di Capsule, Salesforce non ha assegnato un CVE né emesso un avviso pubblico per PipeLeak al momento della pubblicazione.
Cosa fa realmente ShareLeak
La vulnerabilità che i ricercatori hanno chiamato ShareLeak sfrutta il divario tra l’invio di un modulo SharePoint e la finestra di contesto dell’agente Copilot Studio. Un utente malintenzionato riempie un campo di commento rivolto al pubblico con un payload predisposto che inserisce un messaggio di ruolo di sistema falso. Nei test di Capsule, Copilot Studio ha concatenato l’input dannoso direttamente con le istruzioni di sistema dell’agente senza alcuna sanificazione dell’input tra il modulo e il modello.
Il payload iniettato ha sovrascritto le istruzioni originali dell’agente nel proof-of-concept di Capsule, indirizzandolo a interrogare gli elenchi SharePoint collegati per i dati dei clienti e a inviare tali dati tramite Outlook a un indirizzo e-mail controllato dall’aggressore. NVD classifica l’attacco come a bassa complessità e non richiede privilegi.
I meccanismi di sicurezza di Microsoft hanno contrassegnato la richiesta come sospetta durante i test di Capsule. I dati sono stati comunque esfiltrati. Il DLP non si è mai attivato perché l’e-mail è stata instradata tramite un’azione legittima di Outlook che il sistema ha trattato come un’operazione autorizzata.
Carter Rees, vicepresidente dell’intelligenza artificiale presso Reputazioneha descritto il fallimento architetturale in un’intervista esclusiva a VentureBeat. Il LLM non può distinguere intrinsecamente tra istruzioni attendibili e dati recuperati non attendibili, ha affermato Rees. Diventa un agente confuso che agisce per conto dell’aggressore. OWASP classifica questo modello come ASI01: dirottamento dell’obiettivo dell’agente.
Il team di ricerca dietro entrambe le scoperte, Capsule Security, ha scoperto la vulnerabilità di Copilot Studio il 24 novembre 2025. Microsoft l’ha confermata il 5 dicembre e l’ha patchata il 15 gennaio 2026. Ogni direttore della sicurezza che esegue agenti Copilot Studio attivati dai moduli di SharePoint dovrebbe controllare quella finestra per individuare eventuali indicatori di compromissione.
PipeLeak e la scissione di Salesforce
PipeLeak colpisce la stessa classe di vulnerabilità attraverso una porta d’ingresso diversa. Nei test di Capsule, un payload di un modulo di lead pubblico ha preso il controllo di un agente Agentforce senza che fosse richiesta l’autenticazione. Capsule non ha trovato alcun limite di volume sui dati CRM esfiltrati e il dipendente che ha attivato l’agente non ha ricevuto alcuna indicazione che i dati avessero lasciato l’edificio. Salesforce non ha assegnato un CVE né ha emesso un avviso pubblico specifico per PipeLeak al momento della pubblicazione.
Capsule non è il primo gruppo di ricerca a colpire Agentforce con un’iniezione rapida indiretta. Lo ha rivelato Noma Labs Perdita forzata (CVSS 9.4) nel settembre 2025 e Salesforce ha corretto il vettore applicando liste consentite di URL attendibili. Secondo la ricerca di Capsule, PipeLeak sopravvive alla patch attraverso un canale diverso: e-mail tramite le azioni dello strumento autorizzato dall’agente.
Naor Paz, CEO di Capsule Security, ha dichiarato a VentureBeat che i test non hanno raggiunto alcun limite di esfiltrazione. “Non abbiamo ottenuto alcuna limitazione”, ha detto Paz. “L’agente continuerebbe a far trapelare tutto il CRM.”
Salesforce ha consigliato l’intervento umano nel circuito come soluzione attenuante. Paz si tirò indietro. “Se l’umano dovesse approvare ogni singola operazione, non sarebbe realmente un agente”, ha detto a VentureBeat. “È semplicemente un essere umano che clicca sulle azioni dell’agente.”
Microsoft ha patchato ShareLeak e assegnato un CVE. Secondo la ricerca di Capsule, Salesforce ha corretto il percorso URL di ForcedLeak ma non il canale di posta elettronica.
Kayne McGladrey, membro senior dell’IEEE, la pensa diversamente in un’intervista separata a VentureBeat. Le organizzazioni stanno clonando account utente umani su sistemi ad agenti, ha affermato McGladrey, tranne per il fatto che gli agenti utilizzano molte più autorizzazioni di quanto farebbero gli umani a causa della velocità, della scala e dell’intento.
La tripletta letale e perché la gestione della postura fallisce
Paz ha definito le condizioni strutturali che rendono sfruttabile qualsiasi agente: accesso a dati privati, esposizione a contenuti non attendibili e capacità di comunicare con l’esterno. ShareLeak li colpisce tutti e tre. PipeLeak li colpisce tutti e tre. La maggior parte degli agenti di produzione li utilizza tutti e tre perché questa combinazione è ciò che rende gli agenti utili.
Rees ha convalidato la diagnosi in modo indipendente. Una difesa approfondita basata su regole deterministiche è fondamentalmente insufficiente per i sistemi ad agenti, ha detto Rees a VentureBeat.
Elia Zaitsev, CTO di CrowdStrike, ha definito la mentalità stessa dell’aggiornamento la vulnerabilità in un’esclusiva separata di VentureBeat. “Le persone si stanno dimenticando della sicurezza runtime”, ha affermato. “Correggiamo tutte le vulnerabilità. Impossibile. In qualche modo sembra sempre che manchi qualcosa.” Osservare le azioni cinetiche reali è un problema strutturato e risolvibile, ha detto Zaitsev a VentureBeat. L’intento no. Il sensore Falcon di CrowdStrike percorre l’albero del processo e tiene traccia di ciò che gli agenti hanno fatto, non di ciò che sembravano avere intenzione.
Crescendo multigiro e punto cieco dell’agente di codifica
Le iniezioni immediate a colpo singolo rappresentano la minaccia entry-level. La ricerca di Capsule ha documentato attacchi in crescendo multi-turn in cui gli avversari distribuiscono i carichi utili su più turni dall’aspetto benigno. Ogni turno supera l’ispezione. L’attacco diventa visibile solo se analizzato come una sequenza.
Rees ha spiegato perché il monitoraggio attuale non riesce a cogliere questo aspetto. Un WAF apolide osserva ogni svolta nel vuoto e non rileva alcuna minaccia, ha detto Rees a VentureBeat. Vede richieste, non una traiettoria semantica.
Capsule ha inoltre rilevato vulnerabilità non divulgate nelle piattaforme di agenti di codifica che ha rifiutato di nominare, incluso l’avvelenamento della memoria che persiste tra le sessioni e l’esecuzione di codice dannoso attraverso i server MCP. In un caso, un guardrail a livello di file progettato per limitare i file a cui l’agente poteva accedere è stato aggirato dall’agente stesso, che ha trovato un percorso alternativo per gli stessi dati. Rees ha identificato il vettore umano: i dipendenti incollano codice proprietario in LLM pubblici e vedono la sicurezza come un attrito.
McGladrey taglia sul fallimento della governance. “Se il crimine fosse un problema tecnologico, l’avremmo risolto già molto tempo fa”, ha detto a VentureBeat. “Il rischio legato alla sicurezza informatica come categoria a sé stante è una completa finzione”.
Il modello di applicazione runtime
Capsule si collega ai percorsi di esecuzione degli agenti forniti dal fornitore, inclusi gli hook di sicurezza di Copilot Studio e i checkpoint di pre-utilizzo dello strumento di Claude Code, senza proxy, gateway o SDK. Mercoledì la società è uscita di nascosto, programmando il suo round di avviamento da 7 milioni di dollari, guidato da Lama Partners insieme a Forgepoint Capital International, per la sua divulgazione coordinata.
Chris Krebs, primo direttore del CISA e consulente della Capsule, ha colmato il divario in termini operativi. “Gli strumenti tradizionali non sono stati creati per monitorare ciò che accade tra la richiesta e l’azione”, ha affermato Krebs. “Questo è il divario di runtime.”
L’architettura di Capsule implementa piccoli modelli linguistici ottimizzati che valutano ogni chiamata allo strumento prima dell’esecuzione, un approccio che la guida al mercato di Gartner chiama “agente guardiano”.
Non tutti sono d’accordo sul fatto che l’analisi delle intenzioni sia il livello giusto. Zaitsev ha dichiarato a VentureBeat durante un’intervista esclusiva che il rilevamento basato sull’intento non è deterministico. “L’analisi delle intenzioni a volte funziona. L’analisi delle intenzioni non può sempre funzionare”, ha affermato. CrowdStrike scommette sull’osservazione di ciò che l’agente ha effettivamente fatto piuttosto che di ciò che sembrava avere intenzione. Documentazione di Copilot Studio di Microsoft fornisce webhook di fornitori di sicurezza esterni in grado di approvare o bloccare l’esecuzione dello strumento, offrendo un piano di controllo nativo del fornitore insieme a opzioni di terze parti. Nessun singolo strato colma il divario. L’analisi dell’intento di runtime, il monitoraggio dell’azione cinetica e i controlli fondamentali (privilegio minimo, sanificazione degli input, restrizioni in uscita, human-in-the-loop mirato) appartengono tutti allo stack. I team SOC dovrebbero mappare subito la telemetria: registri delle attività di Copilot Studio più decisioni sui webhook, registri di controllo CRM per Agentforce e dati dell’albero dei processi EDR per gli agenti di codifica.
Paz ha descritto il cambiamento più ampio. “L’intento è il nuovo perimetro”, ha detto a VentureBeat. “L’agente in fase di runtime può decidere di comportarsi male con te.”
Matrice prescrittiva VentureBeat
La matrice seguente mappa cinque classi di vulnerabilità rispetto ai controlli che non le rilevano e le azioni specifiche che i direttori della sicurezza dovrebbero intraprendere questa settimana.
| Classe di vulnerabilità | Perché i controlli attuali non se ne accorgono | Cosa fa l’applicazione del runtime | Azioni suggerite per i leader della sicurezza |
| CondividiLeak — Studio Copilota, CVE-2026-21520CVSS 7.5, patch il 15 gennaio 2026 | I test di Capsule non hanno rilevato alcuna sanificazione dell’input tra il modulo di SharePoint e il contesto dell’agente. I meccanismi di sicurezza sono segnalati, ma i dati vengono comunque esfiltrati. DLP non si è attivato perché l’e-mail ha utilizzato un’azione legittima di Outlook. OWASP ASI01: dirottamento dell’obiettivo dell’agente. | L’agente Guardian si aggancia agli hook di sicurezza pre-utilizzo dello strumento Copilot Studio. Controlla ogni chiamata dello strumento prima dell’esecuzione. Blocca l’esfiltrazione a livello di azione. | Controlla ogni agente di Copilot Studio attivato dai moduli di SharePoint. Limita la posta elettronica in uscita ai domini riservati all’organizzazione. Inventaria tutti gli elenchi SharePoint accessibili agli agenti. Esaminare la finestra dal 24 novembre al 15 gennaio per individuare gli indicatori di compromesso. |
| PipeLeak — Agentforce, nessun CVE assegnato | Nei test di Capsule, l’input del modulo pubblico è confluito direttamente nel contesto dell’agente. Nessuna autenticazione richiesta. Nessun limite di volume osservato sui dati CRM esfiltrati. Il dipendente non ha ricevuto alcuna indicazione che i dati fossero in partenza. | Intercettazione del runtime tramite hook agentici della piattaforma. Checkpoint di pre-invocazione su ogni chiamata dello strumento. Rileva il trasferimento di dati in uscita verso destinazioni non approvate. | Esamina tutte le automazioni Agentforce attivate dai moduli rivolti al pubblico. Abilita l’intervento umano nel circuito per le comunicazioni esterne come controllo temporaneo. Controlla l’ambito di accesso ai dati CRM per agente. Fare pressione su Salesforce per l’assegnazione di CVE. |
| Crescendo multigiro – carico utile distribuito, ogni svolta sembra benigna | Il monitoraggio stateless ispeziona ogni turno in modo isolato. WAF, DLP e log delle attività vedono le singole richieste, non la traiettoria semantica. | L’analisi runtime con stato tiene traccia della cronologia completa delle conversazioni durante i turni. Gli SLM ottimizzati valutano il contesto aggregato. Rileva quando una sequenza cumulativa costituisce una violazione delle policy. | Richiedere il monitoraggio con stato per tutti gli agenti di produzione. Aggiungi scenari di attacco in crescendo agli esercizi della squadra rossa. |
| Agenti di codifica – piattaforme senza nome, avvelenamento della memoria + esecuzione di codice | I server MCP inseriscono codice e istruzioni nel contesto dell’agente. L’avvelenamento della memoria persiste durante le sessioni. Guardrail ragionato dall’agente stesso. Gli addetti ai lavori dell’intelligenza artificiale ombra incollano il codice proprietario nei LLM pubblici. | Checkpoint di pre-invocazione su ogni chiamata dello strumento. Gli SLM ottimizzati rilevano l’utilizzo anomalo degli strumenti in fase di runtime. | Inventaria tutte le distribuzioni degli agenti di codifica in tutta la progettazione. Controlla le configurazioni del server MCP. Limitare le autorizzazioni di esecuzione del codice. Monitorare le installazioni shadow. |
| Divario strutturale — qualsiasi agente con dati privati + input non attendibili + comunicazioni esterne | La gestione della postura ti dice cosa dovrebbe succedere. Non ferma ciò che accade. Gli agenti utilizzano molte più autorizzazioni degli umani e a una velocità molto maggiore. | L’agente guardiano runtime osserva ogni azione in tempo reale. L’applicazione basata sugli intenti sostituisce il rilevamento delle firme. Sfrutta gli hook degli agenti dei fornitori, non i proxy o i gateway. | Classificare ogni agente in base all’esposizione letale tripletta. Trattare l’iniezione tempestiva come rischio SaaS basato sulla classe. Richiedi sicurezza runtime per qualsiasi agente che passa alla produzione. Informare il consiglio sul rischio agente come rischio d’impresa. |
Cosa significa questo per la pianificazione della sicurezza per il 2026
L’assegnazione CVE di Microsoft accelererà o frammenterà il modo in cui il settore gestisce le vulnerabilità degli agenti. Se i fornitori li chiamano problemi di configurazione, i CISO si assumono da soli il rischio.
Trattare l’iniezione tempestiva come un rischio SaaS a livello di classe piuttosto che come CVE individuali. Classifica ogni schieramento di agenti rispetto alla tripletta letale. Richiedi l’applicazione del runtime per qualsiasi cosa venga spostata in produzione. Riassumendo il consiglio sul rischio agente nel modo in cui McGladrey lo ha inquadrato: come rischio aziendale, perché il rischio di sicurezza informatica come categoria a sé stante ha smesso di essere utile nel momento in cui gli agenti hanno iniziato a operare alla velocità della macchina.
