Microsoft toegewezen CVE-2026-21520een CVSS 7.5-kwetsbaarheid voor indirecte promptinjectie, naar Copilot Studio. Capsule-beveiliging ontdekte de fout, coördineerde de openbaarmaking met Microsoft en de patch werd op 15 januari geïmplementeerd. De openbare openbaarmaking ging woensdag live.
Die CVE doet er minder toe vanwege wat het oplost, maar meer vanwege wat het signaleert. Het onderzoek van Capsule noemt de beslissing van Microsoft om een CVE toe te wijzen aan een kwetsbaarheid voor snelle injectie in een agentisch platform ‘zeer ongebruikelijk’. Microsoft eerder toegewezen CVE-2025-32711 (CVSS 9.3) naar EchoLeak, een snelle injectie in M365 Copilot die in juni 2025 werd gepatcht, maar die gericht was op een productiviteitsassistent, niet op een platform voor het bouwen van agenten. Als het precedent zich in grote lijnen uitstrekt tot agentsystemen, erft elke onderneming die agenten gebruikt een nieuwe kwetsbaarheidsklasse die moet worden gevolgd. Behalve dat deze klasse niet volledig kan worden geëlimineerd door patches alleen.
Capsule ontdekte ook wat zij PipeLeak noemen, een parallelle kwetsbaarheid voor indirecte promptinjectie in Salesforce Agentforce. Microsoft heeft een CVE gepatcht en toegewezen. Volgens het onderzoek van Capsule heeft Salesforce op het moment van publicatie geen CVE toegewezen of een openbaar advies uitgebracht voor PipeLeak.
Wat ShareLeak eigenlijk doet
De kwetsbaarheid die de onderzoekers ShareLeak noemden, maakt gebruik van de kloof tussen het indienen van een SharePoint-formulier en het contextvenster van de Copilot Studio-agent. Een aanvaller vult een openbaar commentaarveld met een vervaardigde payload die een nep-systeemrolbericht injecteert. Tijdens de tests van Capsule voegde Copilot Studio de kwaadaardige invoer rechtstreeks samen met de systeeminstructies van de agent, zonder dat de invoer tussen het formulier en het model werd opgeschoond.
De geïnjecteerde payload overtrof de oorspronkelijke instructies van de agent in Capsule’s proof-of-concept, waardoor deze de verbonden SharePoint-lijsten op zoek ging naar klantgegevens en die gegevens via Outlook naar een door de aanvaller beheerd e-mailadres stuurde. NVD classificeert de aanval als een lage complexiteit en vereist geen rechten.
De eigen veiligheidsmechanismen van Microsoft markeerden het verzoek tijdens het testen van Capsule als verdacht. De gegevens werden hoe dan ook geëxfiltreerd. De DLP is nooit geactiveerd omdat de e-mail werd omgeleid via een legitieme Outlook-actie die door het systeem als een geautoriseerde bewerking werd behandeld.
Carter Rees, vice-president kunstmatige intelligentie bij Reputatiebeschreef de architecturale mislukking in een exclusief VentureBeat-interview. De LLM kan inherent geen onderscheid maken tussen vertrouwde instructies en niet-vertrouwde opgehaalde gegevens, zei Rees. Het wordt een verwarde plaatsvervanger namens de aanvaller optreden. OWASP classificeert dit patroon als ASI01: Agentdoelkaping.
Het onderzoeksteam achter beide ontdekkingen, Capsule Security, ontdekte de kwetsbaarheid in Copilot Studio op 24 november 2025. Microsoft bevestigde deze op 5 december en repareerde deze op 15 januari 2026. Elke beveiligingsdirecteur die Copilot Studio-agenten uitvoert die worden geactiveerd door SharePoint-formulieren, moet dat venster controleren op indicatoren van compromissen.
PipeLeak en Salesforce zijn uit elkaar gegaan
PipeLeak treft dezelfde kwetsbaarheidsklasse via een andere voordeur. Tijdens de tests van Capsule kaapte een publieke leadformulier-payload een Agentforce-agent zonder dat authenticatie vereist was. Capsule vond geen volumelimiet op de geëxfiltreerde CRM-gegevens en de medewerker die de agent activeerde, kreeg geen indicatie dat de gegevens het gebouw hadden verlaten. Salesforce heeft op het moment van publicatie geen CVE toegewezen of een openbaar advies uitgebracht dat specifiek is voor PipeLeak.
Capsule is niet het eerste onderzoeksteam dat Agentforce met een indirecte injectie heeft getroffen. Noma Labs bekendgemaakt Geforceerde lekkage (CVSS 9.4) in september 2025, en Salesforce heeft die vector gepatcht door toelatingslijsten voor vertrouwde URL’s af te dwingen. Volgens het onderzoek van Capsule overleeft PipeLeak die patch via een ander kanaal: e-mail via de geautoriseerde toolacties van de agent.
Naor Paz, CEO van Capsule Security, vertelde VentureBeat dat de tests geen exfiltratielimiet bereikten. “We hebben geen enkele beperking bereikt”, zei Paz. “De agent zou gewoon alle CRM blijven lekken.”
Salesforce raadde human-in-the-loop aan als oplossing. Paz duwde terug. “Als de mens elke afzonderlijke operatie zou moeten goedkeuren, is het niet echt een agent”, vertelde hij aan VentureBeat. “Het is gewoon een mens die door de acties van de agent klikt.”
Microsoft heeft ShareLeak gepatcht en een CVE toegewezen. Volgens het onderzoek van Capsule heeft Salesforce het URL-pad van ForcedLeak gepatcht, maar niet het e-mailkanaal.
Kayne McGladrey, IEEE Senior Member, verwoordde het anders in een apart VentureBeat-interview. Organisaties klonen menselijke gebruikersaccounts naar agentische systemen, zei McGladrey, behalve dat agenten veel meer machtigingen gebruiken dan mensen vanwege de snelheid, de schaal en de bedoeling.
De dodelijke trifecta en waarom houdingsmanagement mislukt
Paz noemde de structurele voorwaarde die elke agent exploiteerbaar maakt: toegang tot privégegevens, blootstelling aan niet-vertrouwde inhoud en de mogelijkheid om extern te communiceren. ShareLeak treft alle drie. PipeLeak treft ze alle drie. De meeste productieagenten raken ze alle drie, omdat die combinatie agenten nuttig maakt.
Rees valideerde de diagnose onafhankelijk. Een diepgaande verdediging gebaseerd op deterministische regels is fundamenteel onvoldoende voor agentische systemen, Rees vertelde VentureBeat.
Elia Zaitsev, CTO van CrowdStrike, noemde de patching-mentaliteit zelf de kwetsbaarheid in een aparte VentureBeat exclusief. “Mensen vergeten runtime-beveiliging”, zegt hij. “Laten we alle kwetsbaarheden patchen. Onmogelijk. Op de een of andere manier lijkt het altijd iets te missen.” Het observeren van daadwerkelijke kinetische acties is een gestructureerd, oplosbaar probleem, vertelde Zaitsev aan VentureBeat. Intentie is dat niet. CrowdStrike’s Falcon-sensor loopt de procesboom en volgt wat agenten deden, niet wat ze van plan leken te zijn.
Multi-turn crescendo en de blinde vlek van de codeeragent
Single-shot prompt-injecties vormen de bedreiging op instapniveau. Capsule’s onderzoek documenteerde multi-turn crescendo-aanvallen waarbij tegenstanders hun lading over meerdere goedaardig ogende beurten verdelen. Elke beurt passeert de inspectie. De aanval wordt pas zichtbaar als deze als een reeks wordt geanalyseerd.
Rees legde uit waarom de huidige monitoring dit over het hoofd ziet. Een staatloze WAF bekijkt elke bocht in een vacuüm en detecteert geen bedreiging, vertelde Rees aan VentureBeat. Het ziet verzoeken, geen semantisch traject.
Capsule ontdekte ook niet-openbaar gemaakte kwetsbaarheden in codeerplatforms die het niet wilde noemen, waaronder geheugenvergiftiging die tijdens sessies aanhoudt en uitvoering van kwaadaardige code via MCP-servers. In één geval werd een vangrail op bestandsniveau, ontworpen om te beperken tot welke bestanden de agent toegang had, door de agent zelf beredeneerd, die een alternatief pad naar dezelfde gegevens vond. Rees identificeerde de menselijke vector: werknemers plakken eigen code in openbare LLM’s en beschouwen beveiliging als wrijving.
McGladrey kwam terug op het falen van het bestuur. “Als misdaad een technologisch probleem was, zouden we de misdaad al vrij lang geleden hebben opgelost”, vertelde hij aan VentureBeat. “Cyberveiligheidsrisico’s als op zichzelf staande categorie zijn een complete fictie.”
Het runtime-afdwingingsmodel
De capsule haakt in door de leverancier geleverde uitvoeringspaden voor agenten – inclusief de beveiligingshaken van Copilot Studio en de controlepunten vóór het gebruik van de tool van Claude Code – zonder proxy’s, gateways of SDK’s. Het bedrijf verliet woensdag stealth en timede zijn startronde van $ 7 miljoen, geleid door Lama Partners samen met Forgepoint Capital International, naar de gecoördineerde openbaarmaking ervan.
Chris Krebs, de eerste directeur van CISA en capsuleadviseur, formuleerde de kloof in operationele termen. “Oudere tools zijn niet gebouwd om te monitoren wat er gebeurt tussen prompt en actie”, zegt Krebs. “Dat is de looptijdkloof.”
De architectuur van Capsule maakt gebruik van verfijnde kleine taalmodellen die elke tool-aanroep evalueren voordat deze wordt uitgevoerd, een benadering die Gartners marktgids een ‘guardian agent’ noemt.
Niet iedereen is het erover eens dat intentieanalyse de juiste laag is. Zaitsev vertelde VentureBeat tijdens een exclusief interview dat op opzet gebaseerde detectie niet-deterministisch is. “Intentieanalyse zal soms werken. Intentieanalyse kan niet altijd werken”, zei hij. CrowdStrike gokt op het observeren van wat de agent daadwerkelijk deed, in plaats van op wat hij leek te bedoelen. Microsoft’s eigen Copilot Studio-documentatie biedt externe webhooks van beveiligingsaanbieders die de uitvoering van tools kunnen goedkeuren of blokkeren, en bieden naast opties van derden een eigen controlevlak van de leverancier. Geen enkele laag dicht de kloof. Analyse van de runtime-intentie, monitoring van kinetische acties en fundamentele controles (minste bevoegdheden, opschoning van invoer, uitgaande beperkingen, gerichte mens-in-the-loop) horen allemaal in de stapel. SOC-teams moeten nu telemetrie in kaart brengen: activiteitenlogboeken van Copilot Studio plus webhookbeslissingen, CRM-auditlogboeken voor Agentforce en EDR-procesboomgegevens voor codeeragenten.
Paz beschreef de bredere verschuiving. “Intentie is de nieuwe perimeter”, vertelde hij aan VentureBeat. “De agent in runtime kan besluiten om je te bedriegen.”
VentureBeat-prescriptieve matrix
De volgende matrix brengt vijf kwetsbaarheidsklassen in kaart met de controles die deze missen, en de specifieke acties die beveiligingsdirecteuren deze week moeten ondernemen.
|
Kwetsbaarheidsklasse |
Waarom de huidige controles het missen |
Wat Runtime-handhaving doet |
Voorgestelde acties voor veiligheidsleiders |
|
DeelLeak — Copiloot Studio, CVE-2026-21520CVSS 7.5, gepatcht op 15 januari 2026 |
Uit de tests van Capsule bleek dat er geen sprake was van invoeropschoning tussen het SharePoint-formulier en de agentcontext. Veiligheidsmechanismen zijn gemarkeerd, maar gegevens zijn nog steeds geëxfiltreerd. DLP is niet geactiveerd omdat de e-mail een legitieme Outlook-actie gebruikte. OWASP ASI01: Agentdoelkaping. |
Guardian-agent haakt in op de beveiligingshaken van Copilot Studio vóór gebruik van de tool. Controleert elke gereedschapsoproep vóór uitvoering. Blokkeert exfiltratie op de actielaag. |
Controleer elke Copilot Studio-agent die wordt geactiveerd door SharePoint-formulieren. Beperk uitgaande e-mail tot domeinen die alleen voor de organisatie gelden. Inventariseer alle SharePoint-lijsten die toegankelijk zijn voor agenten. Bekijk het venster van 24 november tot en met 15 januari voor indicatoren van een compromis. |
|
Pijplek — Agentforce, geen CVE toegewezen |
Bij de tests van Capsule vloeide de publieke vorminvoer rechtstreeks naar de agentcontext. Geen autorisatie vereist. Er is geen volumelimiet waargenomen op geëxfiltreerde CRM-gegevens. De medewerker kreeg geen enkele indicatie dat er gegevens achterbleven. |
Runtime-onderschepping via platformagent-hooks. Controlepunt voorafgaand aan de aanroep bij elke gereedschapsoproep. Detecteert uitgaande gegevensoverdracht naar niet-goedgekeurde bestemmingen. |
Bekijk alle Agentforce-automatiseringen die worden geactiveerd door openbare formulieren. Schakel Human-in-the-loop in voor externe communicatie als tussentijdse controle. Controleer het bereik van CRM-gegevenstoegang per agent. Zet Salesforce onder druk voor CVE-opdracht. |
|
Crescendo met meerdere bochten – verdeelde lading, elke beurt ziet er goedaardig uit |
Stateless monitoring inspecteert elke beurt afzonderlijk. WAF’s, DLP en activiteitenlogboeken zien individuele verzoeken, geen semantisch traject. |
Stateful runtime-analyse houdt de volledige gespreksgeschiedenis over beurten bij. Verfijnde SLM’s evalueren de geaggregeerde context. Detecteert wanneer een cumulatieve reeks een beleidsschending vormt. |
Vereist stateful monitoring voor alle productieagenten. Voeg crescendo-aanvalscenario’s toe aan rode teamoefeningen. |
|
Coderingsmiddelen – naamloze platforms, geheugenvergiftiging + code-uitvoering |
MCP-servers injecteren code en instructies in de agentcontext. Geheugenvergiftiging blijft tijdens sessies bestaan. Vangrails waar de agent zelf omheen redeneerde. Insiders van schaduw-AI plakken bedrijfseigen code in openbare LLM’s. |
Controlepunt voorafgaand aan de aanroep bij elke gereedschapsoproep. Verfijnde SLM’s detecteren afwijkend toolgebruik tijdens runtime. |
Inventariseer alle implementaties van codeeragenten binnen de engineering. Controleer MCP-serverconfiguraties. Beperk de machtigingen voor het uitvoeren van code. Monitor voor schaduwinstallaties. |
|
Structurele kloof — elke agent met privégegevens + niet-vertrouwde invoer + externe communicatie |
Houdingsmanagement vertelt u wat er moet gebeuren. Het houdt niet op wat er gebeurt. Agenten gebruiken veel meer machtigingen dan mensen en met veel grotere snelheid. |
Runtime Guardian Agent bekijkt elke actie in realtime. Op opzet gebaseerde handhaving vervangt handtekeningdetectie. Maakt gebruik van de hooks van leveranciersagenten, en niet van proxy’s of gateways. |
Classificeer elke agent op basis van dodelijke trifecta-blootstelling. Beschouw snelle injectie als een op klassen gebaseerd SaaS-risico. Runtimebeveiliging vereisen voor elke agent die naar productie gaat. Brief het bestuur over agentrisico als bedrijfsrisico. |
Wat dit betekent voor de veiligheidsplanning voor 2026
De CVE-opdracht van Microsoft zal de manier waarop de industrie omgaat met kwetsbaarheden in agenten versnellen of fragmenteren. Als leveranciers dit configuratieproblemen noemen, dragen CISO’s alleen het risico.
Behandel snelle injectie als een SaaS-risico op klasseniveau in plaats van als individuele CVE’s. Classificeer elke inzet van agenten tegen de dodelijke trifecta. Runtime-afdwinging vereisen voor alles dat naar productie gaat. Geef het bestuur informatie over agentrisico’s zoals McGladrey het heeft geformuleerd: als bedrijfsrisico, omdat cyberveiligheidsrisico’s als op zichzelf staande categorie niet meer bruikbaar zijn vanaf het moment dat agenten op machinesnelheid begonnen te werken.
