माइक्रोसॉफ्ट ने कोपायलट स्टूडियो को CVE-2026-21520, एक CVSS 7.5 अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन भेद्यता सौंपी। कैप्सूल सिक्योरिटी ने खामी का पता लगाया, माइक्रोसॉफ्ट के साथ समन्वित प्रकटीकरण किया, और पैच 15 जनवरी को तैनात किया गया। सार्वजनिक प्रकटीकरण बुधवार को लाइव हुआ।
वह सीवीई इस बात के लिए कम मायने रखता है कि वह क्या ठीक करता है और वह क्या संकेत देता है इसके लिए अधिक मायने रखता है। कैप्सूल का शोध एक एजेंटिक प्लेटफ़ॉर्म में शीघ्र इंजेक्शन भेद्यता के लिए सीवीई निर्दिष्ट करने के माइक्रोसॉफ्ट के निर्णय को “अत्यधिक असामान्य” कहता है। माइक्रोसॉफ्ट ने पहले EchoLeak को CVE-2025-32711 (CVSS 9.3) सौंपा था, जो कि जून 2025 में M365 कोपायलट में एक त्वरित इंजेक्शन था, लेकिन इसका लक्ष्य उत्पादकता सहायक था, न कि एजेंट-बिल्डिंग प्लेटफॉर्म। यदि मिसाल मोटे तौर पर एजेंटिक सिस्टम तक फैली हुई है, तो प्रत्येक उद्यम चलाने वाले एजेंटों को ट्रैक करने के लिए एक नई भेद्यता वर्ग विरासत में मिलता है। सिवाय इसके कि इस वर्ग को अकेले पैच द्वारा पूरी तरह से समाप्त नहीं किया जा सकता है।
कैप्सूल ने यह भी पता लगाया जिसे वे पाइपलीक कहते हैं, सेल्सफोर्स एजेंटफोर्स में एक समानांतर अप्रत्यक्ष त्वरित इंजेक्शन भेद्यता। माइक्रोसॉफ्ट ने पैच किया और एक सीवीई सौंपा। कैप्सूल के शोध के अनुसार, सेल्सफोर्स ने प्रकाशन के समय पाइपलीक के लिए सीवीई नहीं सौंपा है या सार्वजनिक सलाह जारी नहीं की है।
ShareLeak वास्तव में क्या करता है
शोधकर्ताओं ने जिस भेद्यता को ShareLeak नाम दिया है, वह SharePoint फॉर्म सबमिशन और कोपायलट स्टूडियो एजेंट की संदर्भ विंडो के बीच के अंतर का फायदा उठाती है। एक हमलावर सार्वजनिक-सामना वाले टिप्पणी फ़ील्ड को एक तैयार किए गए पेलोड से भरता है जो एक नकली सिस्टम भूमिका संदेश इंजेक्ट करता है। कैप्सूल के परीक्षण में, कोपायलट स्टूडियो ने दुर्भावनापूर्ण इनपुट को सीधे एजेंट के सिस्टम निर्देशों के साथ जोड़ दिया, जिसमें फॉर्म और मॉडल के बीच कोई इनपुट सैनिटाइजेशन नहीं था।
इंजेक्टेड पेलोड कैप्सूल के प्रूफ-ऑफ-कॉन्सेप्ट में एजेंट के मूल निर्देशों को ओवरराइड करता है, उसे ग्राहक डेटा के लिए कनेक्टेड SharePoint सूचियों को क्वेरी करने और उस डेटा को आउटलुक के माध्यम से एक हमलावर-नियंत्रित ईमेल पते पर भेजने के लिए निर्देशित करता है। एनवीडी हमले को कम जटिलता के रूप में वर्गीकृत करता है और इसके लिए किसी विशेषाधिकार की आवश्यकता नहीं होती है।
माइक्रोसॉफ्ट के स्वयं के सुरक्षा तंत्र ने कैप्सूल के परीक्षण के दौरान अनुरोध को संदिग्ध के रूप में चिह्नित किया। डेटा वैसे भी बाहर निकाला गया था। डीएलपी कभी सक्रिय नहीं हुआ क्योंकि ईमेल एक वैध आउटलुक कार्रवाई के माध्यम से भेजा गया था जिसे सिस्टम एक अधिकृत ऑपरेशन के रूप में मानता था।
रेपुटेशन में आर्टिफिशियल इंटेलिजेंस के उपाध्यक्ष कार्टर रीस ने एक विशेष वेंचरबीट साक्षात्कार में वास्तुशिल्प विफलता का वर्णन किया। रीस ने कहा, एलएलएम स्वाभाविक रूप से विश्वसनीय निर्देशों और अविश्वसनीय पुनर्प्राप्त डेटा के बीच अंतर नहीं कर सकता है। यह हमलावर की ओर से कार्य करने वाला एक भ्रमित डिप्टी बन जाता है। OWASP इस पैटर्न को ASI01: एजेंट गोल हाईजैक के रूप में वर्गीकृत करता है।
दोनों खोजों के पीछे अनुसंधान टीम, कैप्सूल सिक्योरिटी ने 24 नवंबर, 2025 को कोपायलट स्टूडियो भेद्यता का पता लगाया। माइक्रोसॉफ्ट ने 5 दिसंबर को इसकी पुष्टि की और 15 जनवरी, 2026 को इसे पैच किया। SharePoint फॉर्म द्वारा ट्रिगर किए गए कोपायलट स्टूडियो एजेंटों को चलाने वाले प्रत्येक सुरक्षा निदेशक को समझौते के संकेतकों के लिए उस विंडो का ऑडिट करना चाहिए।
पाइपलीक और सेल्सफोर्स अलग हो गए
पाइपलीक एक अलग सामने वाले दरवाजे के माध्यम से समान भेद्यता वर्ग पर हमला करता है। कैप्सूल के परीक्षण में, एक सार्वजनिक लीड फॉर्म पेलोड ने बिना किसी प्रमाणीकरण की आवश्यकता के एक एजेंटफोर्स एजेंट को हाईजैक कर लिया। कैप्सूल को एक्सफ़िल्टर्ड सीआरएम डेटा पर कोई वॉल्यूम कैप नहीं मिला, और एजेंट को ट्रिगर करने वाले कर्मचारी को कोई संकेत नहीं मिला कि डेटा ने इमारत छोड़ दी थी। सेल्सफोर्स ने प्रकाशन के समय पाइपलीक के लिए कोई सीवीई नहीं सौंपा है या विशिष्ट सार्वजनिक सलाह जारी नहीं की है।
कैप्सूल एजेंटफोर्स पर अप्रत्यक्ष त्वरित इंजेक्शन लगाने वाली पहली शोध टीम नहीं है। नोमा लैब्स ने सितंबर 2025 में फोर्स्डलीक (सीवीएसएस 9.4) का खुलासा किया, और सेल्सफोर्स ने विश्वसनीय यूआरएल अनुमति सूचियों को लागू करके उस वेक्टर को पैच किया। कैप्सूल के शोध के अनुसार, पाइपलीक एक अलग चैनल के माध्यम से उस पैच से बचता है: एजेंट के अधिकृत टूल कार्यों के माध्यम से ईमेल।
कैप्सूल सिक्योरिटी के सीईओ नाओर पाज़ ने वेंचरबीट को बताया कि परीक्षण में घुसपैठ की कोई सीमा नहीं है। पाज़ ने कहा, “हम किसी सीमा तक नहीं पहुंचे।” “एजेंट सभी सीआरएम को लीक करना जारी रखेगा।”
सेल्सफोर्स ने शमन के रूप में ह्यूमन-इन-द-लूप की सिफारिश की। पाज़ ने पीछे धकेल दिया. उन्होंने वेंचरबीट को बताया, “अगर इंसान को हर एक ऑपरेशन को मंजूरी देनी चाहिए, तो वह वास्तव में एक एजेंट नहीं है।” “यह सिर्फ एक इंसान है जो एजेंट की हरकतों पर क्लिक कर रहा है।”
माइक्रोसॉफ्ट ने ShareLeak को पैच किया और एक CVE सौंपा। कैप्सूल के शोध के अनुसार, Salesforce ने ForcedLeak के URL पथ को पैच किया, लेकिन ईमेल चैनल को नहीं।
आईईईई के वरिष्ठ सदस्य कायने मैकग्लाड्रे ने एक अलग वेंचरबीट साक्षात्कार में इसे अलग तरीके से रखा। मैकग्लाड्रे ने कहा, संगठन मानव उपयोगकर्ता खातों को एजेंटिक सिस्टम में क्लोन कर रहे हैं, सिवाय इसके कि एजेंट गति, पैमाने और इरादे के कारण मनुष्यों की तुलना में कहीं अधिक अनुमतियों का उपयोग करते हैं।
घातक ट्राइफेक्टा और आसन प्रबंधन विफल क्यों होता है
पाज़ ने उस संरचनात्मक स्थिति का नाम दिया जो किसी भी एजेंट को शोषण योग्य बनाती है: निजी डेटा तक पहुंच, अविश्वसनीय सामग्री तक पहुंच, और बाहरी रूप से संचार करने की क्षमता। शेयरलीक ने इन तीनों को प्रभावित किया। पाइपलीक ने तीनों को प्रभावित किया। अधिकांश उत्पादन एजेंट इन तीनों को प्रभावित करते हैं क्योंकि यही संयोजन एजेंटों को उपयोगी बनाता है।
रीस ने स्वतंत्र रूप से निदान की पुष्टि की। रीस ने वेंचरबीट को बताया कि नियतात्मक नियमों पर आधारित रक्षा-निर्धारण एजेंटिक प्रणालियों के लिए मौलिक रूप से अपर्याप्त है।
क्राउडस्ट्राइक के सीटीओ एलिया ज़ैतसेव ने एक अलग वेंचरबीट एक्सक्लूसिव में पैचिंग मानसिकता को ही भेद्यता कहा। उन्होंने कहा, “लोग रनटाइम सुरक्षा के बारे में भूल रहे हैं।” “आइए सभी कमजोरियों को दूर करें। असंभव। ऐसा लगता है कि हमेशा कुछ न कुछ छूट जाता है।” जैतसेव ने वेंचरबीट को बताया कि वास्तविक गतिज क्रियाओं का अवलोकन करना एक संरचित, हल करने योग्य समस्या है। इरादा नहीं है. क्राउडस्ट्राइक का फाल्कन सेंसर प्रोसेस ट्री पर चलता है और यह ट्रैक करता है कि एजेंटों ने क्या किया, न कि वह जो उनका इरादा था।
मल्टी-टर्न क्रैसेन्डो और कोडिंग एजेंट ब्लाइंड स्पॉट
सिंगल-शॉट प्रॉम्प्ट इंजेक्शन प्रवेश स्तर का खतरा है। कैप्सूल के शोध ने मल्टी-टर्न क्रैसेन्डो हमलों का दस्तावेजीकरण किया, जहां विरोधी कई सौम्य दिखने वाले मोड़ों पर पेलोड वितरित करते हैं। प्रत्येक मोड़ निरीक्षण से गुजरता है। अनुक्रम के रूप में विश्लेषण करने पर ही आक्रमण दृष्टिगोचर होता है।
रीस ने बताया कि वर्तमान निगरानी इसमें क्यों चूक जाती है। रीस ने वेंचरबीट को बताया कि एक स्टेटलेस WAF प्रत्येक मोड़ को शून्य में देखता है और किसी खतरे का पता नहीं लगाता है। यह अनुरोधों को देखता है, अर्थ संबंधी प्रक्षेपवक्र को नहीं।
कैप्सूल को कोडिंग एजेंट प्लेटफ़ॉर्म में अघोषित कमजोरियां भी मिलीं, जिसका नाम बताने से इनकार कर दिया गया, जिसमें मेमोरी पॉइज़निंग शामिल है जो पूरे सत्र में बनी रहती है और एमसीपी सर्वर के माध्यम से दुर्भावनापूर्ण कोड निष्पादन शामिल है। एक मामले में, एक फ़ाइल-स्तरीय रेलिंग को यह प्रतिबंधित करने के लिए डिज़ाइन किया गया था कि एजेंट किन फ़ाइलों तक पहुँच सकता है, एजेंट द्वारा स्वयं तर्क किया गया था, जिसे उसी डेटा के लिए एक वैकल्पिक पथ मिला था। रीस ने मानव वेक्टर की पहचान की: कर्मचारी सार्वजनिक एलएलएम में मालिकाना कोड चिपकाते हैं और सुरक्षा को घर्षण के रूप में देखते हैं।
मैकग्लाड्रे ने शासन की विफलता पर कटाक्ष किया। उन्होंने वेंचरबीट को बताया, “यदि अपराध एक प्रौद्योगिकी समस्या होती, तो हमने बहुत पहले ही अपराध का समाधान कर लिया होता।” “एक स्टैंडअलोन श्रेणी के रूप में साइबर सुरक्षा जोखिम पूरी तरह से काल्पनिक है।”
रनटाइम प्रवर्तन मॉडल
कैप्सूल विक्रेता द्वारा प्रदत्त एजेंटिक निष्पादन पथों में हुक करता है – जिसमें कोपायलट स्टूडियो के सुरक्षा हुक और क्लाउड कोड के प्री-टूल-उपयोग चेकपॉइंट शामिल हैं – बिना किसी प्रॉक्सी, गेटवे या एसडीके के। कंपनी अपने समन्वित प्रकटीकरण के लिए फोर्जपॉइंट कैपिटल इंटरनेशनल के साथ लामा पार्टनर्स के नेतृत्व में अपने 7 मिलियन डॉलर के सीड राउंड का समय तय करते हुए बुधवार को चुपचाप बाहर निकल गई।
सीआईएसए के पहले निदेशक और कैप्सूल सलाहकार क्रिस क्रेब्स ने परिचालन के संदर्भ में अंतर बताया। क्रेब्स ने कहा, “विरासत उपकरण त्वरित और कार्रवाई के बीच क्या होता है इसकी निगरानी के लिए नहीं बनाए गए थे।” “वह रनटाइम गैप है।”
कैप्सूल का आर्किटेक्चर सुव्यवस्थित छोटे भाषा मॉडल को तैनात करता है जो निष्पादन से पहले प्रत्येक टूल कॉल का मूल्यांकन करता है, एक दृष्टिकोण जिसे गार्टनर का मार्केट गाइड कहता है। "अभिभावक एजेंट."
हर कोई इस बात से सहमत नहीं है कि आशय विश्लेषण सही परत है। ज़ैतसेव ने एक विशेष साक्षात्कार के दौरान वेंचरबीट को बताया कि इरादे-आधारित पहचान गैर-नियतात्मक है। “इरादे का विश्लेषण कभी-कभी काम करेगा। इरादे का विश्लेषण हमेशा काम नहीं कर सकता,” उन्होंने कहा। क्राउडस्ट्राइक यह देखने पर दांव लगाता है कि एजेंट ने वास्तव में क्या किया, न कि उसका इरादा क्या था। माइक्रोसॉफ्ट का अपना कोपायलट स्टूडियो दस्तावेज़ बाहरी सुरक्षा-प्रदाता वेबहुक प्रदान करता है जो टूल निष्पादन को स्वीकृत या अवरुद्ध कर सकता है, तीसरे पक्ष के विकल्पों के साथ एक विक्रेता-मूल नियंत्रण विमान की पेशकश करता है। कोई भी एक परत अंतर को बंद नहीं करती। रनटाइम आशय विश्लेषण, गतिज क्रिया निगरानी, और मूलभूत नियंत्रण (कम से कम विशेषाधिकार, इनपुट स्वच्छता, आउटबाउंड प्रतिबंध, लक्षित मानव-इन-द-लूप) सभी स्टैक में हैं। एसओसी टीमों को अब टेलीमेट्री को मैप करना चाहिए: कोपायलट स्टूडियो गतिविधि लॉग प्लस वेबहुक निर्णय, एजेंटफोर्स के लिए सीआरएम ऑडिट लॉग, और कोडिंग एजेंटों के लिए ईडीआर प्रोसेस-ट्री डेटा।
पाज़ ने व्यापक बदलाव का वर्णन किया। उन्होंने वेंचरबीट को बताया, “इरादा नई परिधि है।” “रनटाइम में एजेंट आपके साथ धोखाधड़ी करने का निर्णय ले सकता है।”
वेंचरबीट प्रिस्क्रिप्टिव मैट्रिक्स
निम्नलिखित मैट्रिक्स उन नियंत्रणों के विरुद्ध पांच भेद्यता वर्गों को मैप करता है जो उनसे छूट जाते हैं, और सुरक्षा निदेशकों को इस सप्ताह जो विशिष्ट कार्रवाई करनी चाहिए।
| भेद्यता वर्ग |
वर्तमान नियंत्रण क्यों चूक जाते हैं? |
रनटाइम प्रवर्तन क्या करता है |
सुरक्षा नेताओं के लिए सुझाई गई कार्रवाइयां |
|
शेयरलीक – कोपायलट स्टूडियो, सीवीई-2026-21520, सीवीएसएस 7.5, 15 जनवरी 2026 को पैच किया गया |
कैप्सूल के परीक्षण में SharePoint फॉर्म और एजेंट संदर्भ के बीच कोई इनपुट सैनिटाइजेशन नहीं पाया गया। सुरक्षा तंत्र को चिह्नित किया गया, लेकिन डेटा अभी भी बाहर निकाला गया। डीएलपी सक्रिय नहीं हुआ क्योंकि ईमेल ने वैध आउटलुक कार्रवाई का उपयोग किया था। OWASP ASI01: एजेंट गोल हाईजैक। |
गार्जियन एजेंट कोपायलट स्टूडियो में उपकरण-पूर्व सुरक्षा हुक जोड़ता है। निष्पादन से पहले प्रत्येक टूल कॉल की जांच करता है। एक्शन लेयर पर एक्सफिल्ट्रेशन को रोकता है। |
SharePoint फॉर्म द्वारा ट्रिगर किए गए प्रत्येक कोपायलट स्टूडियो एजेंट का ऑडिट करें। आउटबाउंड ईमेल को केवल संगठन डोमेन तक सीमित रखें। एजेंटों के लिए पहुंच योग्य सभी SharePoint सूचियों की सूची। समझौते के संकेतकों के लिए 24 नवंबर-15 जनवरी की विंडो की समीक्षा करें। |
|
पाइपलीक – एजेंटफोर्स, कोई सीवीई असाइन नहीं किया गया |
कैप्सूल के परीक्षण में, सार्वजनिक प्रपत्र इनपुट सीधे एजेंट संदर्भ में प्रवाहित होता है। किसी प्रमाणीकरण की आवश्यकता नहीं है. एक्सफ़िल्टर्ड सीआरएम डेटा पर कोई वॉल्यूम कैप नहीं देखी गई। कर्मचारी को कोई संकेत नहीं मिला कि डेटा जा रहा है। |
प्लेटफ़ॉर्म एजेंटिक हुक के माध्यम से रनटाइम अवरोधन। प्रत्येक टूल कॉल पर प्री-इनवोकेशन चेकपॉइंट। गैर-अनुमोदित गंतव्यों पर आउटबाउंड डेटा स्थानांतरण का पता लगाता है। |
सार्वजनिक-सामना वाले फ़ॉर्म द्वारा ट्रिगर किए गए सभी एजेंटफोर्स ऑटोमेशन की समीक्षा करें। अंतरिम नियंत्रण के रूप में बाहरी कॉम के लिए ह्यूमन-इन-द-लूप सक्षम करें। प्रति एजेंट ऑडिट सीआरएम डेटा एक्सेस स्कोप। सीवीई असाइनमेंट के लिए सेल्सफोर्स पर दबाव। |
|
मल्टी-टर्न क्रेस्केंडो – वितरित पेलोड, प्रत्येक मोड़ सौम्य दिखता है |
स्टेटलेस मॉनिटरिंग प्रत्येक मोड़ का अलग से निरीक्षण करती है। WAF, DLP और गतिविधि लॉग व्यक्तिगत अनुरोध देखते हैं, सिमेंटिक प्रक्षेपवक्र नहीं। |
स्टेटफुल रनटाइम विश्लेषण बारी-बारी से संपूर्ण वार्तालाप इतिहास को ट्रैक करता है। सुव्यवस्थित एसएलएम समग्र संदर्भ का मूल्यांकन करते हैं। यह पता लगाता है कि संचयी अनुक्रम कब नीति उल्लंघन बनता है। |
सभी उत्पादन एजेंटों के लिए राज्यव्यापी निगरानी की आवश्यकता है। रेड टीम अभ्यास में क्रैसेन्डो आक्रमण परिदृश्य जोड़ें। |
|
कोडिंग एजेंट – अनाम प्लेटफ़ॉर्म, मेमोरी पॉइज़निंग + कोड निष्पादन |
एमसीपी सर्वर एजेंट संदर्भ में कोड और निर्देश इंजेक्ट करते हैं। स्मृति विषाक्तता पूरे सत्र में बनी रहती है। एजेंट द्वारा स्वयं रेलिंग के बारे में तर्क दिया गया। शैडो एआई के अंदरूनी सूत्र सार्वजनिक एलएलएम में मालिकाना कोड चिपकाते हैं। |
प्रत्येक टूल कॉल पर प्री-इनवोकेशन चेकपॉइंट। फाइन-ट्यून किए गए एसएलएम रनटाइम पर असामान्य उपकरण उपयोग का पता लगाते हैं। |
इंजीनियरिंग में सभी कोडिंग एजेंट तैनाती की सूची। एमसीपी सर्वर कॉन्फ़िगरेशन का ऑडिट करें। कोड निष्पादन अनुमतियाँ प्रतिबंधित करें। छाया स्थापनाओं की निगरानी करें. |
|
संरचनात्मक अंतराल – निजी डेटा वाला कोई भी एजेंट + अविश्वसनीय इनपुट + बाहरी कॉम |
आसन प्रबंधन आपको बताता है कि क्या होना चाहिए। जो होता है उसे रोकता नहीं. एजेंट इंसानों की तुलना में कहीं अधिक अनुमतियों का उपयोग कहीं अधिक गति से करते हैं। |
रनटाइम गार्जियन एजेंट वास्तविक समय में हर गतिविधि पर नज़र रखता है। आशय-आधारित प्रवर्तन हस्ताक्षर पहचान का स्थान ले लेता है। विक्रेता एजेंटिक हुक का लाभ उठाता है, प्रॉक्सी या गेटवे का नहीं। |
प्रत्येक एजेंट को घातक ट्राइफेक्टा एक्सपोज़र के आधार पर वर्गीकृत करें। शीघ्र इंजेक्शन को वर्ग-आधारित SaaS जोखिम के रूप में मानें। उत्पादन में जाने वाले किसी भी एजेंट के लिए रनटाइम सुरक्षा की आवश्यकता है। एजेंट जोखिम को व्यावसायिक जोखिम के रूप में संक्षिप्त करें। |
2026 सुरक्षा योजना के लिए इसका क्या अर्थ है
माइक्रोसॉफ्ट का सीवीई असाइनमेंट उद्योग द्वारा एजेंट की कमजोरियों को संभालने के तरीके में या तो तेजी लाएगा या खंडित करेगा। यदि विक्रेता उन्हें कॉन्फ़िगरेशन समस्याएँ कहते हैं, तो CISO अकेले ही जोखिम उठाते हैं।
शीघ्र इंजेक्शन को व्यक्तिगत सीवीई के बजाय वर्ग-स्तरीय SaaS जोखिम के रूप में मानें। प्रत्येक एजेंट की तैनाती को घातक ट्राइफेक्टा के विरुद्ध वर्गीकृत करें। किसी भी चीज़ को उत्पादन की ओर ले जाने के लिए रनटाइम प्रवर्तन की आवश्यकता होती है। एजेंट जोखिम पर बोर्ड को संक्षिप्त करें जिस तरह से मैकग्लाड्रे ने इसे तैयार किया: व्यावसायिक जोखिम के रूप में, क्योंकि एक स्टैंडअलोन श्रेणी के रूप में साइबर सुरक्षा जोखिम उस समय उपयोगी होना बंद हो गया जब एजेंटों ने मशीन की गति से काम करना शुरू कर दिया।
<a href