fost-nepal.org – Microsoft baru saja mengeluarkan peringatan terkait kerentanan pada Copilot Studio, yang dikenal sebagai CVE-2026-21520. Kerentanan ini, yang memiliki tingkat keparahan 7.5 menurut CVSS, adalah jenis penginjeksian prompt tidak langsung yang ditemukan oleh perusahaan keamanan, Capsule Security. Pengumuman ini menyusul penempatan patch pada 15 Januari 2026, dan pengungkapan publik kerentanan itu dilakukan pada hari Rabu.

CVE ini menarik perhatian karena menandakan tingginya risiko yang dihadapi aplikasi yang menggunakan sistem agen seperti Copilot. Capsule menyebut keputusan Microsoft untuk memberikan CVE kepada jenis kerentanan ini sebagai langkah yang tidak biasa. Ini menunjukkan bahwa jika kerentanan tersebut diperluas ke sistem agen secara umum, setiap perusahaan yang menggunakan agen akan berhadapan dengan kategori kerentanan baru yang sulit untuk diatasi hanya dengan patch.

Selain itu, Capsule Security juga mengidentifikasi kerentanan lain yang disebut PipeLeak, yang mengancam Salesforce Agentforce tetapi hingga saat ini, Salesforce belum memberikan CVE atau peringatan publik mengenai masalah ini. Dalam pengujian, kerentanan ShareLeak memungkinkan penyerang untuk mengeksploitasi celah antara pengisian formulir SharePoint dan konteks agen Copilot, mengarah pada pengambilan data pelanggan secara ilegal melalui email.

Melihat konteks yang lebih luas, para pakar keamanan mengindikasikan bahwa tidak hanya masalah teknis yang perlu diperhatikan, tetapi juga pentingnya kesadaran terhadap risiko yang ditimbulkan oleh penggunaan agen yang mengakses data sensitif. Di masa mendatang, langkah-langkah pengamanan yang lebih ketat dan pendekatan baru dalam manajemen keamanan perlu diterapkan untuk melindungi data perusahaan dari potensi pelanggaran yang lebih besar.