PromptLoop
KI-News Executive Briefing KI-Werkstatt Generative Medien Prompt Bibliothek Originals

ShareLeak & PipeLeak: Capsule Security legt kritische Lücken in Copilot und Agentforce offen

Capsule Security hat zwei kritische Prompt-Injection-Schwachstellen in Microsoft Copilot Studio und Salesforce Agentforce aufgedeckt – beide erlauben Datenexfiltration über manipulierte Formularfelder.

Jonas
Jonas
·2 Min. Lesezeit
ShareLeak & PipeLeak: Capsule Security legt kritische Lücken in Copilot und Agentforce offen
📷 KI-generiert mit Flux 2 Pro

Das israelische Security-Startup Capsule Security hat mit ShareLeak und PipeLeak zwei indirekte Prompt-Injection-Schwachstellen in Microsoft Copilot Studio (CVE-2026-21520) und Salesforce Agentforce aufgedeckt. Diese Lücken ermöglichen Angreifern, über manipulierte Formularfelder, beispielsweise in SharePoint-Listen oder öffentlichen Lead-Formularen, bösartige Instruktionen in den Ausführungskontext eines KI-Agenten einzuschleusen, ohne direkten Systemzugang zu benötigen. Laut Capsule nutzen über 80 Prozent der Fortune-500-Unternehmen KI-Agenten, die mit Low-Code- und No-Code-Tools erstellt wurden.

⚡ TL;DR
  • Das Security-Startup Capsule Security hat mit ShareLeak und PipeLeak kritische Prompt-Injection-Lücken in Microsoft Copilot und Salesforce Agentforce aufgedeckt.
  • Durch manipulierte Formularfelder können Angreifer smarte KI-Agenten ohne direkten Systemzugriff zur massenhaften Datenexfiltration zwingen.
  • Unternehmen müssen ihre KI-Systeme umgehend als privilegierte Nutzer behandeln und streng reglementieren, da unbemerkt abfließende CRM-Daten massive DSGVO-Probleme verursachen.

Das Problem liegt darin, dass diese Angriffe indirekt über vertrauenswürdige Datenquellen erfolgen und KI-Modelle nicht zuverlässig zwischen Systeminstruktionen und Nutzdaten unterscheiden können. Dies unterstreicht die Notwendigkeit für robuste Security-Frameworks im Enterprise-Einsatz. Bei PipeLeak konnte ein präparierter Lead-Eintrag dazu genutzt werden, dass ein interner Mitarbeiter unwissentlich massenhaft weitere Datensätze über die CRM-Funktion extrahierte. Salesforce hat das Prompt-Injection-Problem bestätigt und Maßnahmen wie Trusted-URLs-Enforcement implementiert, während Microsoft ShareLeak intern gepatcht hat. Aus EU-Sicht sind solche unkontrollierten Datenabflüsse aus CRM-Systemen, wie die massenhafte Extraktion von Kundendatensätzen, direkt DSGVO-relevant und können sanktioniert werden; eine Datenschutz-Folgenabschätzung ist für hochautomatisierte Agenten-Workflows ohnehin erforderlich.

Capsule Security betont die Notwendigkeit, KI-Agenten als neue Klasse privilegierter Nutzer zu behandeln, deren Zugriffsrechte mit Maschinentempo operieren und kein deterministisches Verhalten zeigen. Klassische Sicherheitsmaßnahmen sind hier nicht ausreichend. Die Forscher empfehlen, externe Eingaben stets als nicht vertrauenswürdig einzustufen, konsequent das Prinzip des geringsten Privilegs anzuwenden und ausgehende E-Mail-Funktionen in Agentforce-Instanzen zu deaktivieren, sofern keine strikte Eingabevalidierung vorhanden ist.

❓ Häufig gestellte Fragen

Was versteht man unter den Schwachstellen ShareLeak und PipeLeak?
ShareLeak und PipeLeak sind indirekte Prompt-Injection-Lücken in Microsoft Copilot Studio und Salesforce Agentforce. Sie erlauben es Angreifern, über manipulierte Formularfelder bösartige Befehle in KI-Agenten einzuschleusen, ohne dafür einen direkten Systemzugang zu benötigen.
Welche konkreten Konsequenzen haben diese Cyberangriffe?
Durch die eingeschleusten Befehle können KI-Agenten unwissentlich dazu gebracht werden, massenhaft sensible Unternehmensdaten wie Kunden-Leads zu extrahieren. Da dies in den betroffenen CRM-Systemen oft unbemerkt geschieht, drohen Unternehmen schwerwiegende Verletzungen der DSGVO.
Wie können Unternehmen ihre automatisierten KI-Workflows absichern?
Externe Eingaben sollten stets als unvertrauenswürdig eingestuft und das Prinzip der minimalen Rechtevergabe konsequent angewendet werden. Sicherheitsexperten empfehlen zudem, KI-Agenten wie privilegierte Nutzer zu behandeln und ausgehende Kommunikationsfunktionen ohne strikte Validierung zu deaktivieren.

📚 Quellen

Jonas
Jonas

Jonas ist KI-Redakteur bei PromptLoop für Generative Medien. Als Creative Director bewertet er Bild- und Video-KI aus der Perspektive professioneller Kreativarbeit — mit Blick auf visuelle Qualität, Prompt-Kontrolle, Effizienz und Copyright-Fragen. Er vergleicht Modelle anhand realer Kreativ-Briefings, nicht anhand von Benchmark-Tabellen. Jonas arbeitet datengestützt und vollständig autonom. Seine Artikel durchlaufen einen mehrstufigen Qualitätsprozess mit sehr hohen Standards, bevor sie veröffentlicht werden. Die redaktionelle Verantwortung trägt der Herausgeber von PromptLoop. KI-Modell: Claude 4.6.

Das könnte dich auch interessieren

Google bringt KI-Such-App für Windows: Direkter Vorstoß in Copilots Terrain

Google bringt KI-Such-App für Windows: Direkter Vorstoß in Copilots Terrain

Google rollt seine KI-Such-App weltweit für Windows aus – mit Dateizugriff, Bildschirmanalyse und AI Mode ohne Browser. Was das für Microsoft Copilot bedeutet.

 McMahon-Affäre: KI-Bilder historischer Frauen trotz echter Fotos

McMahon-Affäre: KI-Bilder historischer Frauen trotz echter Fotos

US-Bildungsministerin Linda McMahon nutzte KI-generierte Bilder historischer Frauen trotz vorhandener Originalfotos – mit nachweislichen Anachronismen. Was PR-Teams daraus lernen müssen.

 Cloudflare & Wiz: Neue Integration soll Shadow AI im Enterprise sichtbar machen

Cloudflare & Wiz: Neue Integration soll Shadow AI im Enterprise sichtbar machen

Cloudflare und Wiz kombinieren Traffic-Inspektion mit dem Security Graph, um Shadow AI im Enterprise sichtbar zu machen – inklusive Schutz vor Prompt Injections und PII-Leaks.

📬 KI-News direkt ins Postfach