آسیبپذیری Prompt Injection به سرعت در حال تبدیل شدن به یکی از تهدیدات بزرگ امنیت سایبری در پلتفرمهای هوش مصنوعی سازمانی است. تحقیقات جدید نشان میدهد که این آسیبپذیری در سیستمهای Microsoft Copilot Studio و Salesforce Agentforce میتواند به مهاجمان اجازه دهد تنها با وارد کردن دستورات مخرب به فرمهای معمولی، عملکرد agentهای هوش مصنوعی را تغییر داده و دادههای حساس سازمانی را استخراج کنند. این موضوع نشاندهنده این است که آسیبپذیری Prompt Injection دیگر صرفاً یک تهدید نظری نیست، بلکه میتواند در سناریوهای واقعی منجر به سرقت اطلاعات مشتریان، دادههای عملیاتی و حتی رکوردهای CRM شود.
آسیبپذیری Prompt Injection در Copilot Studio؛ حمله ShareLeak
محققان شرکت Capsule Security اعلام کردند که agentهای هوش مصنوعی در Microsoft Copilot Studio هنگام پردازش فرمهای SharePoint در برابر آسیبپذیری Prompt Injection آسیبپذیر هستند. این حمله که با نام ShareLeak شناخته میشود، با درج یک پیلود مخرب در فیلدهای استاندارد فرم، مانند بخش کامنتها، آغاز میشود.
نحوه اجرای حمله ShareLeak
در این سناریو، مهاجم دستور مخرب خود را بهطور عادی در قالب متن، وارد فرم میکند. سپس زمانی که agentهای هوش مصنوعی Copilot این داده را بهعنوان بخشی از اطلاعات مورد نیاز خود پردازش میکنند، پیلود تزریقشده با System Prompt (دستور سیستمی) ترکیب میشود.
در نتیجه:
- مدل هوش مصنوعی دستور مهاجم را بهعنوان دستور سیستمی معتبر تلقی میکند.
- عملکرد agentهای هوش مصنوعی تغییر میکند.
- دسترسی به دادههای داخلی فعال میشود.
پس از موفقیت حمله Prompt Injection، agentهای Copilot میتوانند به لیستهای SharePoint متصل شده و اطلاعات حساس مشتریان شامل موارد زیر را استخراج کنند:
- نام و نام خانوادگی
- آدرس
- شماره تماس
- اطلاعات مشتریان ثبتشده در سیستم
سپس این دادهها از طریق ایمیل به سرورهای تحت کنترل مهاجم ارسال میشوند.
مایکروسافت پس از افشای این آسیبپذیری، آن را با شناسه CVE-2026-21520 ثبت کرد و شدت آن را 7.5 از 10 در مقیاس CVSS ارزیابی نمود. طبق اعلام مایکروسافت، این آسیبپذیری بهصورت داخلی پچ شده است و کاربران برای رفع آن نیازی به انجام اقدام خاصی ندارند.
آسیبپذیری Prompt Injection در Agentforce؛ حمله PipeLeak
در پلتفرم Salesforce Agentforce، یک آسیبپذیری مشابه شناسایی شده است که تحت عنوان PipeLeak شناخته میشود. در این حمله، مهاجم دستورات مخرب را در یک فرم عمومی Lead وارد میکندکه معمولاً برای ثبت اطلاعات مشتریان بالقوه استفاده میشود. هنگامی که یک کاربر داخلی از agent درخواست میکند که این فرم را پردازش کند، agentهای هوش مصنوعی دستور مخرب را بهعنوان بخشی از دستور عملیاتی خود اجرا میکنند.
نحوه اجرای حمله PipeLeak
در آزمایشهای انجامشده توسط Capsule Security، agent از تابع GetLeadsInformation برای استخراج دادههای CRM استفاده کرده و این اطلاعات را از طریق ایمیل به سرورهای تحت کنترل مهاجم ارسال کرد. محققان اعلام کردند که این حمله میتواند تنها با یک فرم Lead آغاز شود، اما در نهایت منجر به استخراج گسترده دادههای CRM و ایجاد یک pipeline استخراج دادهها گردد.
چرا حملات Prompt Injection در agentهای هوش مصنوعی خطرناک است؟
مشکل اصلی در این حملات به معماری فعلی بسیاری از سیستمهای هوش مصنوعی برمیگردد. در بسیاری از پیادهسازیها، دادههای کاربر و دستورهای سیستمی در یک کانتکست واحد ترکیب میشوند.
در چنین شرایطی:
- مدل قادر به تشخیص داده از دستور نیست.
- ورودیهای خارجی میتوانند عملکرد agent را بازتعریف کنند.
- مکانیزمهای امنیتی سنتی قادر به شناسایی و مقابله با چنین حملاتی نیستند.
در واقع آسیبپذیری Prompt Injection به مهاجم اجازه میدهد که بدون نیاز به استفاده از اکسپلویتهای کلاسیک، منطق عملکردی agentهای هوش مصنوعی را دستکاری کند.
واکنش Salesforce به آسیبپذیری Prompt Injection
پس از افشای آسیبپذیری Prompt Injection در Agentforce، Salesforce اعلام کرد که سناریوی ذکرشده توسط محققان اصلاح شده است. اما این شرکت تأکید کرد که این مسیر افشای دادهها بستگی به پیکربندی سیستم دارد.
در همین راستا، Salesforce تدابیر زیر را برای کاهش ریسک Prompt Injection معرفی کرده است:
- جداسازی دستورها (Instruction Isolation)
- محدودسازی دسترسی به ابزارها
- نظارت انسانی یا Human-in-the-loop (HITL)
با این حال، محققان Capsule Security معتقدند که تکیه بر تأیید انسانی با هدف اصلی agentهای خودکار که بهطور مستقل عمل میکنند، در تضاد است.
ریشه اصلی آسیبپذیری Prompt Injection
محققان اشاره کردهاند که مشکل اصلی در سیستمهای هوش مصنوعی به پیکربندیهای پیشفرض ناامن بازمیگردد. در واقع، سیستمهای خودکار نباید اجازه دهند ورودیهای خارجی اهداف agent را تغییر دهند.
راهکارهای پیشنهادی برای مقابله با آسیبپذیری
برای کاهش ریسک حملات Prompt Injection، محققان اقدام کلیدی زیر را پیشنهاد کردهاند:
- اعتبارسنجی دقیق ورودیها (Input Validation)
- جداسازی کامل دادهها از دستورها
- اعمال اصل حداقل دسترسی (Least Privilege) برای دسترسی به دادهها
- محدودسازی عملیات حساس مانند ارسال ایمیلهای خارجی
- فیلتر کردن دادههای ورودی قبل از ورود به کانتکست مدل
نتیجهگیری: تهدیدات جدید امنیت سایبری در عصر هوش مصنوعی
با گسترش استفاده از agentهای هوش مصنوعی در سازمانها، تهدیدات جدیدی همچون آسیبپذیری Prompt Injection نیز ظهور کردهاند. این نوع حملات قادرند بهراحتی دادههای حساس را از سیستمهای هوش مصنوعی استخراج کنند. این موضوع بهروشنی نشاندهنده نیاز به توجه بیشتر به آسیبپذیریهای امنیتی در این حوزه است. آیندهی امنیت سایبری در دنیای هوش مصنوعی نیازمند تقویت اقدامات پیشگیرانه و ایجاد اصلاحات ساختاری در پلتفرمهای هوش مصنوعی میباشد.
