כשל אבטחה קריטי בסוכני ה-AI המקושרים של מיקרוסופט

חוקרי אבטחה של חברת זניטי לאבס (Zenity Labs) חשפו פגמים עיצוביים בסוכני ה-AI המקושרים של מיקרוסופט (Microsoft). לפי החוקרים מדובר בפגמים שהינם קריטיים, מכיוון שהם יכולים לאפשר להאקרים לפרוץ למערכות תוך התחזות לארגונים שמפעילים אותם, וללא כל גילוי. 

מדובר בתכונה חדשה ששילבה מיקרוסופט ב-Copilot Studio, והוצגה בכנס Build 2025 שלה, במטרה לשתף נתונים בין סוכני AI שפועלים בסביבות שונות. המטרה היא לאפשר, בפעולה פשוטה, לשתף נתונים וכלים בין סוכנים שונים של המערכת שפועלים באותה סביבה וזאת כדי לחסוך זמן פיתוח מיותר עקב יצירת כפילויות מיותרות בקוד.

לפי החוקרים, התכונה הזו מופעלת כברירת מחדל עבור כל הסוכנים והיא יוצרת באופן מיידי משטח חשיפה ותקיפה, בעיקר בגלל שלמנהלים אין יכולת לדעת אלו סוכנים חיצוניים מתחברים למערכת דרך הממשק המקורי של Copilot Studio.

𝗖𝗼𝗻𝗻𝗲𝗰𝘁𝗲𝗱 𝗔𝗴𝗲𝗻𝘁𝘀: 𝗧𝗵𝗲 𝗛𝗶𝗱𝗱𝗲𝗻 𝗕𝗮𝗰𝗸𝗱𝗼𝗼𝗿 𝗶𝗻 𝗬𝗼𝘂𝗿 𝗖𝗼𝗽𝗶𝗹𝗼𝘁

Zenity Labs’ article explains Microsoft Copilot Studio’s new Connected Agents feature, which allows agents to reuse each other’s logic and tools. While powerful for efficiency, it… pic.twitter.com/gbKBgZ8RJO

— Steven Lim (@0x534c) December 29, 2025

חוסר נראות ודוגמאות לניצול

עוד בעיה קריטית היא שפעילות של סוכנים מקושרים אינה מייצרת יומני פעילות בנתיב הביקורת של הסוכן המופעל, מה שהופך חיבורים לא מורשים לבלתי נראים, למעשה, לצוותי אבטחה. הדוגמאות שסופקו כוללות מערכות דיוג המכוונu, לעובדים ולקוחות, הפצת מידע שגוי שפוגע במוניטין של המותג, שימוש בכתובות של החברה כדי להפיץ דואר זבל ולהוביל לחסימת שמות תחום, ואם סוכן נפרץ נגיש לציבור – כל משתמש באינטרנט שאינו מאומת יכול לנצל את זה (לדוגמה, שימוש בכתובת דואר שאינה שלו).

לפי החברה, רק פתרונות צד שלישי, כמו הפלטפורמה שלהם, מספקים את הנראות הנדרשת. בינתיים הם מייעצים לכל ארגון שמשתמש בתכונה הזו לערוך ביקורת מיידית של הסוכנים, במיוחד כאלה שעוסקים בפעולות כמו עסקאות פיננסיות, דואר, או גישה לנתונים. כמו כן מומלץ לשלב בזרם העבודה קבלת אישור לפני שסוכנים מבצעים פעולות קריטיות.