Bei der als „PipeLeak" bezeichneten Lücke in Salesforce Agentforce nutzten die Forscher ein öffentliches CRM-Formular zur Lead-Erfassung, wie es Interessenten auf der Website eines Salesforce-Kunden ausfüllen. In ein solches Formular ließen sich Schadanweisungen einschleusen, die der Agent als vertrauenswürdige Eingabe behandelte. In einem Beispiel wies Capsule den Agenten an, sämtliche auffindbaren Leads zu versenden – ohne komplexen Code, nur eine einzige Zeile, die Salesforce anwies, alle gefundenen Leads in der zurückgesendeten Formular-E-Mail an den Angreifer aufzulisten.

„Die Schwachstelle geht auf einen grundlegenden Architekturfehler zurück: Agent Flows verarbeiten die Eingaben aus Lead-Formularen als vertrauenswürdige Anweisungen statt als nicht vertrauenswürdige Daten", schreibt Bar Kaduri von Capsule. Da Lead-Formulare beliebigen Text von externen, nicht authentifizierten Nutzern annehmen, könne ein Angreifer schädliche Prompts einbetten, die das vorgesehene Verhalten des Agenten überschreiben.

Die zweite Schwachstelle, von Capsule „ShareLeak" genannt, betrifft Microsoft Copilot und ist als CVE-2026-21520 mit hoher Schwere (CVSS 7.5) eingestuft. Dabei konnten Angreifer Schadcode in ein SharePoint-Formularfeld einschleusen, das den angebundenen Copilot auslöste und Kundendaten an eine vom Angreifer kontrollierte E-Mail-Adresse zurücksandte. Selbst wenn Schutzmechanismen den Angriff erkannten, flossen die Daten dennoch ab. Der Angriff war etwas aufwendiger und erforderte einen komplexeren Befehl, beruhte aber wie der Agentforce-Fall auf einer Prompt-Injection über ein kundenseitiges Formular.

Salesforce dankte Capsule und behob die Prompt-Injection. Beim Datenabfluss erklärte das Unternehmen jedoch, es handle sich um ein konfigurationsspezifisches Problem, keine Schwachstelle auf Plattformebene: Die werkseitigen E-Mail-Aktionen erforderten eine menschliche Kontrolle („human-in-the-loop"), und dieselbe Anforderung lasse sich auch für eigene Aktionen als Einstellung aktivieren, um unbeabsichtigte Datenübertragungen zu verhindern.

Naor Paz, Mitgründer und CEO von Capsule Security, nannte diese Antwort „sehr überraschend". Der Sinn von Agenten bestehe gerade darin, dass sie Aufgaben ohne ständige Beaufsichtigung erledigten. Er verweist auf Werkzeuge wie Claude Code, die tagelang liefen, Code schrieben und Produktionsdatenbanken abfragten; die Empfehlung „human-in-the-loop" sei seiner Ansicht nach „einfach peinlich". In einer Stellungnahme gegenüber Dark Reading erklärte ein Salesforce-Sprecher, man sei sich des Problems bewusst und habe es behoben. Prompt-Injection sei eine sich entwickelnde Herausforderung der gesamten KI-Branche; der eigene Ansatz umfasse gestaffelte Schutzmaßnahmen wie Isolation von Anweisungen, Einschränkungen bei der Werkzeugnutzung und menschliche Aufsicht.

Capsule rät Organisationen mit Agentforce, alle Eingaben aus Lead-Formularen als nicht vertrauenswürdig zu behandeln, die Nutzung des E-Mail-Werkzeugs bei nicht vertrauenswürdigen Eingaben zu unterbinden, Eingaben zu bereinigen, vor dem Versand von E-Mails mit CRM-Daten eine manuelle Prüfung zu verlangen und alle Agentenaktionen mit Datenzugriff oder externer Kommunikation zu protokollieren.

Microsoft behob CVE-2026-21520 nach Capsules Meldung. Paz verweist zudem auf das Konzept der „tödlichen Trias" (lethal trifecta): Treffen ein Agent mit Zugriff auf sensible Daten, die Konfrontation mit nicht vertrauenswürdigen externen Inhalten und die Fähigkeit zur externen Kommunikation zusammen, lassen sich Daten leichter manipulieren. Es sei „kein Ressourcenproblem", sondern ein Frage des Ansatzes – auch große Anbieter wie Microsoft hätten für dieses neuartige Problem noch nicht die richtigen Antworten.