出典:Techa Tungateja via Alamy Stock Photo
「AI革命」がセキュリティ専門家を夜眠れなくさせている側面の1つは、Microsoft や Salesforce のような支配的なベンダーに対してさえも、機密データの流出を可能にするプロンプトインジェクション攻撃の継続的な蔓延である。
AI エージェントランタイムセキュリティを販売するベンダーである Capsule Security は、本日、Salesforce Agentforce と Microsoft Copilot を含むプロンプトインジェクション脆弱性に関する研究を公開した。両方の脆弱性は対処されているが、この研究はプロンプトインジェクションが大規模言語モデル (LLM) にとって未解決の問題であることを思い出させるものである。
Salesforce の欠陥の場合、Capsule が「PipeLeak」と呼んでいるもので、攻撃者は信頼できないリードキャプチャフォームに悪意のある命令を挿入することができ、Salesforce エージェントはそれを信頼できるプロンプトとして解釈します。問題のフォームは、見込み客が Salesforce 顧客のウェブサイト上で使用できる公開顧客関係管理 (CRM) フォームです。
プロンプトの例では、Capsule はエージェントに見つけることができるすべてのリードを送信するよう指示しました。命令の一部として複雑なコードやエクスプロイトはありませんでした。攻撃者に送り返されたフォームメールで찾 Salesforce がすべてのリードをリストアップするよう指示する1行だけでした。
「脆弱性は根本的なアーキテクチャの欠陥に由来する:Agent Flows は、信頼できないデータではなく信頼できる命令としてリードフォームの入力を処理する」と Capsule の Bar Kaduri は述べた。「リードフォームは外部の認証されていないユーザーから任意のテキストを受け入れるため、攻撃者はエージェントの意図した動作をオーバーライドする悪意のあるプロンプトを埋め込むことができます。」
並行して、Capsule は Microsoft Copilot の脆弱性を「ShareLeak」と呼んでいます。この攻撃(CVE-2026-21520)は高重度度(7.5 CVSS)の指定が与えられており、攻撃者は SharePoint フォーム入力に悪意のあるコードを挿入することができ、接続された Copilot データをトリガーして、顧客データを攻撃者が制御するメールアドレスに返します。安全メカニズムが攻撃にフラグを立てた場合でも、データはまだ流出していました。
この攻撃はもう少し関わっており、意図した AI エージェントの動作をオーバーライドするための、より複雑なコマンドが必要でしたが、Agentforce のバグのようにそれはプロンプトインジェクション 顧客向けフォームによってトリガーされています。
ループ内の人間の複雑さ
Capsule のレポートに対応して、Salesforce はセキュリティベンダーに感謝し、プロンプトインジェクションに対処しました。ただし、データ流出の側面に関しては、Salesforce は Capsule に(ブログ投稿で公開された応答によると)これはコンフィギュレーション固有の問題であり、顧客はループ内の人間 の要件をコンフィギュレーション設定として有効化してデータリークを防ぐことができると述べました。
「これはプラットフォームレベルの脆弱性ではなく、コンフィギュレーション固有の問題であると判断しました」と CRM ベンダーはブログポストでのコメントで述べました。「セキュリティを確保するため、当社の標準設定(OOTB)メールアクション ループ内の人間(HITL)の監視が必要です。カスタムアクションの意図しないデータ転送/アクション を防ぐため、同じ HITL 要件はコンフィギュレーション設定として利用できます。」
Capsule Security の共同創業者兼 CEO である Naor Paz は、Salesforce の対応がほぼ人間ループのコンフィギュレーション推奨に帰着したことを「非常に驚いた」と述べました。「エージェント全体について、彼らはあなたを監視しなくてもあなたのために物事をするんですよね?」と彼は Dark Reading に述べています。Paz が説明するように、これは多くの組織が AI ツールを使用する方法ではありません。
「Claude Code などのエージェントが数日間実行され、コードを書き、本番データベースをクエリし、多くの危険なことを自律的に実行しているのを見ています」と彼は言います。「そして、彼らの答え『ループ内の人間を実行する』は、正直なところ、恥ずかしいです。」
声明では、Salesforce のスポークスパーソンは Dark Reading に対して、この問題を認識しており対処したと述べています。
「プロンプトインジェクションは AI 業界全体における進化する課題であり、当社のアプローチには、命令分離、ツール使用制限、人間の監視などを含むこれらのリスクを緩和するために設計された階層化されたセーフガードが含まれています」と Salesforce はその対応で述べています。「当社はこれらのセーフガードを継続的に改善し、セキュリティ研究コミュニティと協力してこれらの脅威の進化に応じて保護を強化しています。」
Capsule は、Agentforce を実行している組織に対し、すべてのリードフォーム入力を信頼できないデータとして扱う、信頼できない入力を処理する際のメールツールの使用を禁止する、入力サニタイゼーションとプロンプト境界テクニックを適用する、CRM データを含むメールを送信する前に手動レビューが必要になる、データアクセスまたは外部通信を含むすべてのエージェントアクションをログに記録することを推奨しています。
プロンプトインジェクションは引き続き機能し続けます
「組織が AI エージェントを全体に展開する急いでいるため、既存のセキュリティツールでは対処するために設計されなかった重大なリスクを継承しています」と Kaduri は Microsoft のCopilot の欠陥 に関するブログポストで述べています。「当社が実証した攻撃は特別なアクセス、従来のソフトウェア脆弱性の悪用、高度な技術スキルは必要ありませんでした。LLM がどのように命令を処理するかの理解だけで十分です。」
Microsoft は Capsule のレポートに続いて CVE-2026-21520 に対処しました。Dark Reading は追加コメントについて会社に連絡しました。
Capsule Security の研究は、プロンプトインジェクションが当面の間どこかに消えないことを思い出させるものです。また、Anthropic の Claude Mythos にあるようなエクスプロイト検索機能がどのように変わるかを言うのは難しい脅威行為者の大衆に到達します。
Paz は Dark Reading に対して、AI エージェントセキュリティでは「致命的なトリプレット」と呼ばれるコンセプトがあると述べています。これは、機密データへのアクセス権を持つエージェント、信頼できないコンテンツへの外部公開、および外部通信能力の交差点として定義されています。そして、これら3つのことが一緒に存在するとき、データはより簡単に操作されることができます。
「これはリソース問題ではありません」と彼は言います。「これはより多くのアプローチの問題だと思います。なぜなら、Microsoft を含むすべてのこれらの大型ベンダーは、これに対処しなければならないままだからです。彼らはまだこのより新しい問題に対処するための正しいアプローチを持っていません。」
最新の Dark Reading Confidential ポッドキャストをお見落としなく、セキュリティ上司は AI にすべてをかけている:理由はここに、ここで Reddit の CISO Frederick Lee と Omdia アナリスト Dave Gruber は AI と SOC 内の機械学習、成功したデプロイメント がどのように(あるいはそうではなく)行われてきたか、および AI セキュリティ製品の将来について議論しています。今聴く!
翻訳元: https://www.darkreading.com/cloud-security/microsoft-salesforce-patch-ai-agent-data-leak-flaws
