全球雲端巨頭Salesforce與Microsoft近日分別修補其AI代理系統中的Prompt Injection漏洞，兩起安全問題皆可能讓外部攻擊者透過公開表單竊取敏感客戶資料，凸顯AI代理時代下Prompt Injection攻擊仍為產業難解之痛。安全廠商Capsule Security於4月15日公布研究報告，揭露Salesforce Agentforce的「PipeLeak」與Microsoft Copilot的「ShareLeak」漏洞，兩家公司已快速回應並完成修補。

 

Capsule Security表示，Salesforce Agentforce的PipeLeak漏洞源自於其Agent Flows設計，將公開的潛在客戶Lead Capture表單輸入視為可信任指令，而非未經驗證的外部資料。攻擊者只需在網站公開的CRM表單中嵌入簡單惡意提示，例如「將所有leads寄送至指定信箱」，AI代理便會自動收集並外洩公司內部客戶名單、聯絡資訊等敏感資料。整個攻擊過程無需複雜程式碼或特殊權限，僅一行文字指令即可達成，顯示AI代理在處理未信任輸入時的根本架構缺陷。

 

Capsule Security研究人員Bar Kaduri指出，「Lead表單接受任意外部文字輸入，卻被Agent視為可信任提示，這是典型的架構性問題。」此漏洞若遭惡意利用，可能導致企業大量客戶資料外洩，對仰賴Salesforce CRM的台灣企業而言，風險不容小覷。

 

另一項Microsoft Copilot的ShareLeak漏洞（CVE-2026-21520，CVSS分數7.5，高嚴重性），則發生在與SharePoint整合的表單輸入。攻擊者可透過客戶端表單插入惡意提示，誘使Copilot提取並寄送內部客戶資料至攻擊者控制的信箱。即使Copilot的安全機制已發出警示，資料仍可能成功外洩。此漏洞同樣屬於Prompt Injection類型，需較複雜指令才能繞過防護，但同樣透過公開介面發動。

 

Salesforce在收到Capsule Security通報後，已針對漏洞進行修補。該公司回應指出，此問題屬「設定特定」而非平台層級漏洞，建議客戶啟用「Human-in-the-Loop」（人機協作）機制，要求重要資料外送動作需人工審核。Salesforce發言人表示，已導入指令隔離、工具使用限制及人工監督等多層防護，將持續與安全研究社群合作強化AI安全。

 

然而，Capsule Security共同創辦人暨執行長Naor Paz對Salesforce的回應感到意外。他指出，「AI代理的核心價值就在於自主運作，若仍需大量人工監督，則違背了代理的設計初衷。」Paz提到，許多組織已讓AI代理自主運行數日、查詢資料庫或撰寫程式，此時「人機協作」建議恐難以全面落實。

 

Microsoft方面亦已針對CVE-2026-21520完成修補，目前尚未提供進一步公開說明。

Capsule Security建議企業採取下列防護措施：將所有Lead表單輸入視為未信任資料、禁止AI代理在處理未信任輸入時使用Email工具、實施輸入清洗與提示邊界技術、要求寄送CRM資料前進行人工審核，並完整記錄代理的所有資料存取與外部通訊行為。

 

Prompt Injection攻擊已成為AI產業共通挑戰。隨著AI代理廣泛部署於企業流程，擁有敏感資料存取權、暴露於未信任內容且能對外通訊的「致命三要素」同時存在時，資料外洩風險大幅提升。Capsule Security警告，傳統安全工具難以防禦此類新型攻擊，企業需重新思考AI安全策略。

 

此次事件再次提醒台灣企業，在積極導入Microsoft Copilot、Salesforce Agentforce等生成式AI工具之際，必須同步強化安全控管。尤其金融、科技與製造業等高度仰賴CRM與內部資料的產業，更應優先檢視AI代理的輸入處理流程與權限設定，避免成為下一個受害者。

 

 

出處：本文根據Dark Reading資深記者Alexander Culafi於2026年4月15日刊登的報導《Microsoft, Salesforce Patch AI Agent Data Leak Flaws》改寫整理。