O universo da Inteligência Artificial está em constante evolução, e com ele, os desafios de segurança. Uma notícia recente, atribuída ao CVE-2026-21520, lançou luz sobre uma vulnerabilidade crítica de prompt injection no Microsoft Copilot Studio, que resultou na exfiltração de dados mesmo após a aplicação de um patch. A descoberta, feita pela Capsule Security, é um alerta importante para o setor de IA, especialmente para empresas que desenvolvem e utilizam agentes inteligentes em suas operações.
Este incidente não é apenas mais uma falha de segurança; ele sinaliza uma nova classe de vulnerabilidades para sistemas de agentes de IA, que podem ser exploradas de maneiras sutis e eficazes. Entender como esses ataques funcionam e por que eles são tão difíceis de mitigar é fundamental para proteger os dados e a integridade dos sistemas baseados em Large Language Models (LLMs).
A Descoberta da Vulnerabilidade ShareLeak no Copilot Studio
A Capsule Security identificou a vulnerabilidade, nomeada ShareLeak, no Microsoft Copilot Studio em 24 de novembro de 2025. A Microsoft confirmou a falha em 5 de dezembro e implementou o patch em 15 de janeiro de 2026, atribuindo-lhe o CVE-2026-21520, com um score CVSS de 7.5. Embora pareça uma vitória da segurança, o mais notável é a natureza da falha e suas implicações.
A atribuição de um CVE (Common Vulnerabilities and Exposures) a uma vulnerabilidade de prompt injection em uma plataforma de construção de agentes de IA é considerada “altamente incomum” pela pesquisa da Capsule. Embora a Microsoft já tenha atribuído um CVE (CVE-2025-32711, CVSS 9.3) para o EchoLeak — outra injeção de prompt no M365 Copilot corrigida em junho de 2025 —, essa última falha impactava um assistente de produtividade, enquanto o Copilot Studio é uma plataforma para criar agentes autônomos. Se esse precedente se estender, cada empresa que opera agentes de IA herdará uma nova classe de vulnerabilidade que não pode ser totalmente eliminada apenas com patches tradicionais.
Como o ShareLeak Exfiltrou Dados Sensíveis
O ataque prompt injection no Copilot Studio, batizado de ShareLeak, explora uma lacuna crítica entre o envio de formulários do SharePoint e a janela de contexto do agente do Copilot Studio. Um invasor preenche um campo de comentário público com um payload especialmente criado, injetando uma mensagem de ‘role’ de sistema falsa. Nos testes da Capsule, o Copilot Studio concatenou a entrada maliciosa diretamente com as instruções de sistema do agente, sem qualquer sanitização de entrada entre o formulário e o modelo de linguagem.
Em seu estudo, a Capsule Security demonstrou que o payload injetado sobrescrevia as instruções originais do agente. Ele era direcionado a consultar Listas do SharePoint conectadas em busca de dados de clientes e, em seguida, enviar esses dados via Outlook para um endereço de e-mail controlado pelo atacante. O NVD (National Vulnerability Database) classificou este ataque como de baixa complexidade e que não exige privilégios específicos para ser executado.
A Falha Arquitetônica: O Agente como 'Deputy Confuso'
Mesmo com os próprios mecanismos de segurança da Microsoft sinalizando a requisição como suspeita durante os testes, os dados foram exfiltrados. A prevenção de perda de dados (DLP) não foi acionada porque o e-mail foi roteado através de uma ação legítima do Outlook, que o sistema tratou como uma operação autorizada. Carter Rees, VP de Inteligência Artificial da Reputation, descreveu essa falha arquitetônica em uma entrevista à VentureBeat como crucial.
Segundo Rees, o Large Language Model (LLM) não consegue, inerentemente, distinguir entre instruções confiáveis e dados não confiáveis recuperados. Isso o transforma em um ‘deputy confuso’ (agente confuso), agindo em nome do atacante. A OWASP (Open Worldwide Application Security Project) classifica este padrão como ASI01: Agent Goal Hijack (Sequestro de Objetivo do Agente), um tipo de vulnerabilidade onde um agente de IA é manipulado para executar ações além de seu propósito original.
PipeLeak: A Vulnerabilidade Paralela em Agentes da Salesforce
A Capsule Security também revelou o PipeLeak, uma vulnerabilidade paralela de prompt injection indireta que afeta o Salesforce Agentforce. Nos testes da Capsule, um payload inserido em um formulário público de leads sequestrou um agente do Agentforce sem exigir autenticação. Os pesquisadores não encontraram limites de volume para a exfiltração de dados de CRM, e o funcionário que acionou o agente não recebeu nenhuma indicação de que os dados haviam saído da empresa. A Salesforce, até a publicação da pesquisa da Capsule, não atribuiu um CVE ou emitiu um aviso público para o PipeLeak.
É importante notar que a Capsule não é a primeira equipe a expor falhas de prompt injection no Agentforce. A Noma Labs divulgou o ForcedLeak (CVSS 9.4) em setembro de 2025, e a Salesforce corrigiu esse vetor reforçando as allowlists de URLs confiáveis. No entanto, o PipeLeak contorna esse patch através de um canal diferente: e-mail via as ações de ferramentas autorizadas do agente.
Naor Paz, CEO da Capsule Security, enfatizou à entrevista da VentureBeat com Capsule Security que não houve limite de exfiltração nos testes. “Não encontramos nenhuma limitação”, disse Paz. “O agente simplesmente continuaria a vazar todo o CRM.” A Salesforce sugeriu a intervenção humana (human-in-the-loop) como mitigação, mas Paz questionou essa abordagem: “Se o humano precisar aprovar cada operação, não é realmente um agente. É apenas um humano clicando nas ações do agente.”
Por Que Isso Importa: A 'Trifeta Letal' dos Agentes de IA
O que torna esses ataques de prompt injection tão preocupantes para agentes de IA é uma condição estrutural que Naor Paz chama de ‘trifeta letal’:
Acesso a dados privados: Agentes são frequentemente configurados para acessar informações confidenciais para realizar suas tarefas.Exposição a conteúdo não confiável: Interagem com entradas de usuários, formulários públicos e outras fontes externas que podem conter dados maliciosos.Capacidade de comunicação externa: Podem enviar e-mails, postar em plataformas ou interagir com outros sistemas, permitindo a exfiltração.
Tanto o ShareLeak quanto o PipeLeak exploram essa combinação de fatores. A maioria dos agentes de IA em produção, por sua natureza, possui esses três elementos, pois são eles que os tornam úteis. Kayne McGladrey, membro sênior do IEEE, observou em outra entrevista à VentureBeat que as organizações estão ‘clonando contas de usuários humanos para sistemas de agentes’, mas esses agentes usam muito mais permissões do que humanos devido à sua velocidade, escala e intenção, aumentando exponencialmente os riscos.
O Que Esperar a Seguir e Como se Proteger
Apesar de o ataque prompt injection no Copilot Studio ter sido corrigido pela Microsoft com a atribuição de um CVE, e a Salesforce ter corrigido o ForcedLeak (mas não o canal de e-mail do PipeLeak), a lição principal é que a segurança de agentes de IA exige mais do que patches reativos. A natureza inerente dos LLMs, que não conseguem distinguir intrinsecamente entre instruções confiáveis e dados recuperados, torna-os vulneráveis a se tornarem ‘deputies confusos’.
Diretores de segurança que executam agentes do Copilot Studio acionados por formulários do SharePoint devem auditar cuidadosamente suas janelas de contexto para indicadores de comprometimento. Além disso, a indústria precisa de abordagens de segurança mais proativas e arquitetônicas para lidar com a ‘trifeta letal’. Isso pode incluir:
Sanitização rigorosa de entradas: Implementar filtros robustos para qualquer dado que entre no contexto do LLM.Princípio do menor privilégio: Restringir ao máximo as permissões e capacidades externas dos agentes.Monitoramento contínuo: Detectar comportamentos anômalos que possam indicar um ataque.Separar confiança: Desenvolver arquiteturas onde as instruções do sistema são isoladas e não podem ser sobrescritas por entradas do usuário.Verificação humana em operações críticas: Embora a intervenção humana possa comprometer a autonomia, ela é essencial para ações de alto risco.
Conclusão
O incidente do ShareLeak no Microsoft Copilot Studio e o PipeLeak no Salesforce Agentforce são marcos importantes na evolução da segurança da IA. Eles demonstram que, mesmo com patches, a natureza fundamental dos agentes de IA – que combinam acesso a dados, exposição a entradas diversas e capacidade de comunicação externa – os torna alvos atraentes para ataques de prompt injection. À medida que mais empresas adotam plataformas de agentes de IA, a compreensão e a mitigação dessas vulnerabilidades arquitetônicas se tornarão prioridades máximas para garantir um futuro seguro para a Inteligência Artificial.
[LINK_INTERNO]
FAQ: Perguntas Frequentes sobre Prompt Injection e Agentes de IA
O que é um ataque de Prompt Injection?
Um ataque de Prompt Injection ocorre quando um atacante manipula um Large Language Model (LLM) para executar ações não intencionais, injetando instruções maliciosas na entrada do usuário. Isso pode fazer com que o LLM ignore suas instruções originais ou execute comandos para os quais não foi programado, como exfiltrar dados ou gerar conteúdo prejudicial. É como ‘hackear’ a mente do agente de IA.
Por que a exfiltração de dados ocorreu mesmo após o patch no Copilot Studio?
A exfiltração ocorreu porque o patch inicial pode não ter abordado a raiz do problema – a incapacidade do LLM de distinguir entre instruções confiáveis do sistema e dados recuperados via prompt injection. No caso do ShareLeak, o sistema de prevenção de perda de dados (DLP) não detectou a anomalia porque o e-mail foi enviado através de uma ação legítima do Outlook do agente, tornando-o uma operação ‘autorizada’ do ponto de vista do sistema, mesmo que fosse resultado de um comando malicioso. A falha é arquitetônica e não apenas de código.
Gostou da notícia?
Inscreva-se na nossa newsletter e receba as principais novidades sobre inteligência artificial diretamente no seu e-mail.
