Copilot Prompt Injection, så gick attacken till som tömde ett helt CRM

När AI-agenter blir allt mer integrerade i företagsmiljöer växer även en ny och oväntad attackyta: språket. AI-agenter som Microsoft Copilot, ChatGPT och interna botar har snabbt blivit nav i organisationers vardag men när de kopplas till kunddata, interna verktyg och system som Salesforce, kan felkonfigurationer få förödande konsekvenser.

En attack utan kod, bara ord

I ett nyligen demonstrerat scenario lyckades forskare visa hur en angripare kunde ta kontroll över en AI-agent och tömma ett helt CRM-system, utan att någon människa klickade på något.

Angreppet utfördes i två steg.

Först lurades agenten att avslöja sina interna inställningar, bland annat namnen på anslutna kunskapskällor. Denna till synes ofarliga insyn blev startpunkten för nästa fas: prompt injection.

Genom ett särskilt utformat e-postmeddelande, tolkat av agenten som en legitim instruktion, hämtades en komplett kunddatabas och skickades till angriparens inkorg.Eftersom agenten dessutom var kopplad till Salesforce kunde samma metod användas för att extrahera hela CRM-registret.Hela processen tog sekunder helt utan mänsklig inblandning.

Microsoft patchade den specifika sårbarheten kort därefter, men den underliggande risken kvarstår. Prompt injection är inte en bugg, utan ett strukturellt problem: naturligt språk kan alltid omformuleras, vilket gör svartlistor och filter otillräckliga.

Så kunde attacken ske och hur den hade kunnat stoppas

1. Upptäckt av interna källor - Agenten avslöjade vilka kunskapskällor som var kopplade.Om data haft inbyggda åtkomstregler och provenance metadata hade obehöriga aldrig fått veta att de existerade.

2. Prompt injection via öppen inkorg - Agenten var inställd att svara på alla inkommande mejl vilket effektivt bjöd in angripare.Att begränsa vilka avsändare agenten lyssnar på hade stoppat attacken redan här.

3. Dataexfiltration - När källnamnet var känt kunde angriparen begära ut hela filen.Med inbäddade användningsregler i datanivån hade bulkexport varit omöjlig.

4. CRM-exfiltration - Samma teknik användes för att dra ut hela Salesforce-registret.Regelstyrd åtkomst på datanivå hade kunnat förhindra masshämtning även om agenten försökte.

5. Automatisk exekvering (”zero-click”) - Eftersom agenten agerade autonomt hann ingen stoppa den.Inbyggda skydd som blockerar högriskåtgärder hade kunnat förhindra exfiltrationen i realtid.

Från plattformsäkerhet till datanivåkontroll

Detta fall visar hur snabbt en AI-agent kan dras ur kurs när anslutningar och input inte är strikt kontrollerade.När företag kopplar samman verktyg, databaser och kundsystem för att driva automation expanderar attackytan långt bortom vad traditionell plattformsäkerhet kan hantera.

Den starkaste försvarslinjen byggs genom att flytta säkerheten närmare datan.Genom att bädda in regler, sammanhang och syfte i varje datapost kan man säkerställa att endast auktoriserade förfrågningar tillåts utan att hindra legitim användning.

Forskning från bland annat Zenity Labs och IndyKite understryker vikten av detta skifte: plattforms-patchar är nödvändiga men inte tillräckliga.Verklig resiliens skapas först när åtkomst och användning styrs vid källan innan en AI-agent ens får chansen att missbruka datan.

Slutsats

När AI-drivna agenter kopplas till känslig information måste säkerheten följa med in i själva språket. Säkerhet handlar inte längre enbart om nätverk, kryptering eller lösenord utan om hur ord tolkas, av vem, och med vilket syfte.

Awarness är den nya brandväggen.

Språket (prompten) är den nya koden.

Och människan är fortfarande den viktigaste försvarslinjen.

Vill du veta mer om hur du säkrar din AI-Agent?