Kompromittált MI-ügynökök — ShareLeak és PipeLeak története
A ShareLeak nevű sebezhetőséget egy magyar fejlesztői közeg számára ismerős helyzetben találták meg: egy nyilvános SharePoint-űrlapot használtak fel támadók arra, hogy egy speciális karakterláncot adjanak be a Copilot Studio ügynöke számára, így a rendszer átírta az eredeti működési utasításokat. Így a támadó adatokat tudott lekérdezni belső SharePoint-listákból, majd a megszerzett információkat akár az Outlookon keresztül, legitim műveletként továbbíthatta a saját e‑mail-címére. Az egész folyamat során semmilyen jogosultságra nem volt szükség, csak egy kitöltött űrlapra, a rendszer pedig nem szűrte ki a rosszindulatú adatokat.
Mindeközben a Microsoft beépített biztonsági mechanizmusai ugyan gyanúsnak ítélték meg a kérelmet, de a valós adattovábbítást mégsem akadályozták meg. Az adatszivárgás a DLP (adatvesztés elleni védelem) rendszer számára láthatatlan maradt, mivel a műveletet a rendszer jogos Outlook-levelezésként kezelte.
A kutatásban részt vevő biztonsági szakértők rámutattak: az LLM-alapú MI-rendszerek – mint a Copilot Studio – nem képesek maguktól megkülönböztetni a megbízható utasításokat a rosszindulatú adatoktól, ezért egy támadó gyakorlatilag ügynökként használhatja az MI-t saját céljaira.
A Salesforce is sérülékeny — a PipeLeak kiaknázása
A második jelentős hibát, a PipeLeak-et a Salesforce Agentforce platformján azonosították: itt egy nyilvános érdeklődői űrlapon keresztül lehetett átvenni az ügynök irányítását, mindenféle hitelesítés nélkül. A támadó tetszőleges mennyiségű CRM-adatot szerezhetett meg, az érintett alkalmazottaknak pedig semmilyen jelzés nem jelent meg arról, hogy az adataik szivárognak. Ugyanilyen típusú támadást korábban már javítottak egy másik vektor kizárásával (Trusted URL-lista), ám a mostani sebezhetőség ezzel megkerülhetővé vált, hiszen az adatszivárgás ezúttal e‑mail-csatornán történt, amely jogos eszközként jelenik meg az ügynök számára.
Miközben a Microsoft szinte azonnal CVE-azonosítót rendelt a hibához, és közölte a javítást, a Salesforce nem adott ki figyelmeztetést, és továbbra sem jelent meg CVE az ügyhöz. Mindazonáltal a Salesforce szóvivője később arról számolt be, hogy a problémát kezelik, és az e‑mail-alapú műveletekhez alapértelmezetten emberi jóváhagyás szükséges. A Capsule Security viszont újravizsgálta a rendszert, és szerintük a kritikus e‑mail-csatorna továbbra is sebezhető.
A támadások három összetevője és a védelem kudarcai
Az ilyen kompromittálható MI-ügynökökben ugyanaz a hármas feltétel teljesül: hozzáférnek érzékeny belső adatokhoz, nyitottak a külső, nem megbízható tartalmak felé, és kifelé is képesek kommunikálni. Ez a kombináció új szintre emeli a kockázatot, amelyet a klasszikus, szignatúraalapú védelem vagy egyszerű biztonsági javítások nem tudnak teljes körűen kezelni.
A szakértők úgy látják, hogy a rendszeres foltozások csak tüneti kezelést nyújtanak, a valós probléma viszont az, hogy futásidőben, a műveletek közben nincs hatékony felügyelet. Az MI-ügynökök a vállalkozásokban sokszor lényegesen több jogosultsággal működnek, mint emberi felhasználóik, és sokkal gyorsabban fejtenek ki változatos műveleteket.
Összetett fenyegetések — amikor többlépéses támadás sem látható
A hagyományos, statikus elemzést végző tűzfalak, WAF-ok és DLP-rendszerek egy-egy kérést vizsgálnak csak, de nem értelmezik a teljes folyamatot, például azt, hogy több, önmagában ártalmatlan interakció összeadva veszélyes támadássá válhat. Az úgynevezett többfordulós, fokozatos (crescendo) támadások során a támadók lépésről lépésre csepegtetnek be rosszindulatú utasításokat, amelyek csak együtt, visszamenőleges elemzéssel mutathatók ki.
Továbbá felmerültek olyan, programozói MI-ügynökökkel kapcsolatos sérülékenységek is (például memóriamérgezés, háttérkód-futtatás), amelyek révén árnyék MI-rendszerek szivárogtathatják ki a vállalat saját fejlesztéseit, akár több munkameneten keresztül, minden kontrollt megkerülve.
Új védekezési irány: valós idejű felügyelet és szándékalapú ellenőrzés
A leghatékonyabb védelem jelenleg olyan, futásidőben működő, finomhangolt MI-modellek alkalmazása, amelyek minden ügynöki műveletet automatikusan elemeznek még a végrehajtás előtt, így blokkolják az érzékeny adatok kiszivárgását. A különböző technológiák és eszközök eltérő rétegekben próbálnak védekezni, de nincs egyetlen megoldás, amely minden támadási vektort kizárna.
A biztonsági csapatoknak most kell feltérképezniük ügynökeik teljes tevékenységét: naplózni a Copilot Studio aktivitásait, automatizálni az Agentforce- és CRM-auditfolyamatokat, és valós idejű EDR (Endpoint Detection and Response) megfigyelést alkalmazni fejlesztői MI-ügynökök esetén.
A szakértők egyetértenek abban: az MI-ügynökök által jelentett üzleti kockázatot a felsővezetés, igazgatósági (board) szinten kell kezelni, hiszen ezek már túlnőnek a klasszikus kiberbiztonsági kategórián.
Mit jelent mindez a vállalatoknak — ajánlások 2026-ra
Az új típusú sebezhetőségek kezelése elengedhetetlenné teszi, hogy minden MI-ügynököt osztályozzanak a „halálos hármas” kitettség alapján, és minden élesedő projekt esetén kötelező legyen a futásidő-alapú védelem.
Az ügyek sok kérdést vetettek fel arról, hogy mennyire lehet a javításokra bízni az MI-ügynökök biztonságát. Az elmúlt hónapok eseményei alapján minden szervezetnek át kell gondolnia: az MI-ügynökök kockázata üzleti kockázat, amely folyamatos és változatos felügyeletet igényel, mert az egyszerű foltozás már kevés.
