Onderzoekers van NOMA hebben een kwetsbaarheid van snelle injectie bekendgemaakt, genaamd “ForcedLeak”, die van invloed is op de Agentforce autonome AI-agenten van Salesforce. De fout stelt aanvallers in staat om kwaadaardige aanwijzingen in webvormen in te bedden, waardoor de AI -agent gevoelige gegevens van klantrelatiebeheer exfiltreert. De kwetsbaarheid richt zich op Agentforce, een AI -platform binnen het Salesforce -ecosysteem voor het creëren van autonome agenten voor zakelijke taken. Beveiligingsbedrijf Noma identificeerde een kritieke kwetsbaarheidsketen en gaf deze een 9,4 van de 10 score op de CVSS -ernstschaal. De aanval, genaamd “ForcedLeak”, wordt beschreven als een cross-site scripting (XSS) equivalent voor het AI-tijdperk. In plaats van code, plant een aanvaller een kwaadaardige prompt in een online formulier dat een agent later verwerkt, die het dwingt om interne gegevens te lekken. De aanvalsvector maakt gebruik van standaard Salesforce-webformulieren, zoals een web-to-lead formulier voor verkoopvragen. Deze formulieren bevatten meestal een veld “Beschrijving” voor opmerkingen van gebruikers, die dient als het injectiepunt voor de kwaadaardige prompt. Deze tactiek is een evolutie van historische aanvallen waarbij vergelijkbare velden werden gebruikt om kwaadaardige code te injecteren. De kwetsbaarheid bestaat omdat een AI -agent mogelijk geen onderscheid maakt tussen goedaardige gebruikersinvoer en vermomde instructies erin. Om de levensvatbaarheid van de aanval vast te stellen, testten NOMA -onderzoekers eerst de “contextgrenzen” van de Agentforce AI. Ze moesten verifiëren of het model, ontworpen voor specifieke bedrijfsfuncties, aanwijzingen zou verwerken buiten de beoogde reikwijdte. Het team diende een eenvoudige, niet-verkoopvraag in: “Welke kleur krijg je door rood en geel te mengen?” Het antwoord van de AI, “Orange”, bevestigde dat het zaken zou vermaken die verder gaan dan verkoopinteracties. Dit resultaat toonde aan dat de agent vatbaar was voor het verwerken van willekeurige instructies, een voorwaarde voor een snelle injectieaanval. Met de vatbaarheid van de AI vastgesteld, kan een aanvaller een kwaadwillende prompt in een web-tot-lead-vorm insluiten. Wanneer een werknemer een AI -agent gebruikt om deze leads te verwerken, voert de agent de verborgen instructies uit. Hoewel AgentForce is ontworpen om gegevens -exfiltratie voor willekeurige webdomeinen te voorkomen, vonden onderzoekers een kritische fout. Ze ontdekten dat het contentbeveiligingsbeleid van Salesforce verschillende domeinen, waaronder een verlopen beleid, whalist: “My-Salesforce-CMS.com.” Een aanvaller zou dit domein kunnen kopen. In hun proof-of-concept droeg de kwaadaardige prompt van Noma de agent op om een lijst met interne klantleads en hun e-mailadressen naar dit specifieke, witgekweekte domein te sturen, met succes de beveiligingscontrole. Alon Tron, mede-oprichter en CTO van Noma, schetste de ernst van een succesvol compromis. “En dat is eigenlijk het spel,” verklaarde Tron. “We konden de agent compromitteren en vertellen dat hij alles moest doen.” Hij legde uit dat de aanvaller niet beperkt is tot data -exfiltratie. Een gecompromitteerde agent kan ook worden geïnstrueerd om informatie binnen de CRM te wijzigen, hele databases te verwijderen of te worden gebruikt als voet aan de grond om naar andere bedrijfssystemen te draaien, waardoor de impact van de initiële inbreuk wordt verbreed. Onderzoekers waarschuwden dat een ForcedLeak -aanval een breed scala aan gevoelige gegevens kon blootleggen. Dit omvat interne gegevens zoals vertrouwelijke communicatie en inzichten in bedrijfsstrategie. Een inbreuk kan ook uitgebreide werknemers- en klantgegevens blootleggen. CRM’s bevatten vaak notities met persoonlijk identificeerbare informatie (PII) zoals de leeftijd van een klant, hobby’s, verjaardag en gezinsstatus. Bovendien lopen records van klantinteracties in gevaar, inclusief oproepdata en tijden, vergaderlocaties, gesprekken samenvattingen en volledige chattranscripties van geautomatiseerde tools. Transactiegegevens, zoals aankoopgeschiedenis, bestelinformatie en betalingsgegevens, kunnen ook worden aangetast, waardoor aanvallers een uitgebreid beeld van klantrelaties bieden. Andy Shoemaker, CISO voor CIQ Systems, gaf op hoe deze gestolen informatie kan worden bewapend. Hij verklaarde dat “al deze verkoopinformatie kon worden gebruikt en om technische aanvallen van elk type te richten.” Shoemaker legde uit dat aanvallers met toegang tot verkoopgegevens weten wie bepaalde communicatie verwacht en van wie hen, waardoor ze zeer gerichte en geloofwaardige aanvallen kunnen maken. Hij concludeerde: “Kortom, verkoopgegevens kunnen enkele van de beste gegevens zijn voor de aanvallers om te gebruiken om hun slachtoffers te selecteren en effectief te richten.” De eerste aanbeveling van Salesforce om het risico te verminderen, omvat de configuratie van de gebruikerszijde. Het bedrijf adviseerde gebruikers om noodzakelijke externe URL’s toe te voegen waar agenten van afhankelijk zijn van de Salesforce Trusted URLS -lijst of om deze rechtstreeks in de instructies van de agent op te nemen. Dit is van toepassing op externe bronnen zoals feedbackformulieren van diensten zoals Forms.Google.com, externe kennisbases of andere websites van derden die deel uitmaken van de legitieme workflow van een agent. Om de specifieke exploit aan te pakken, heeft Salesforce technische patches vrijgegeven die voorkomen dat Agentforce-agenten output naar vertrouwde URL’s sturen, waardoor de exfiltratiemethode rechtstreeks tegenkomt dat in het proof-of-concept wordt gebruikt. Een woordvoerder van Salesforce heeft een formele verklaring verstrekt: “Salesforce is op de hoogte van de kwetsbaarheid die door NOMA is gerapporteerd en heeft patches vrijgegeven die de output in Agentforce -agenten verhinderen om naar vertrouwde URL’s te worden gestuurd. Het beveiligingslandschap voor snelle injectie blijft een complex en evoluerend gebied, en we blijven investeren in sterke veiligheidscontroles en werken nauw samen met de onderzoeksgemeenschap als deze soorten problemen.” Volgens Noma’s Alon Tron, hoewel de patches effectief zijn, blijft de fundamentele uitdaging. “Het is een gecompliceerd probleem, het definiëren en krijgen van de AI om te begrijpen wat kwaadaardig is of niet in een prompt,” legde hij uit. Dit benadrukt de kern moeilijkheid bij het beveiligen van AI -modellen van kwaadaardige instructies ingebed in gebruikersinvoer. Tron merkte op dat Salesforce een diepere oplossing nastreeft en verklaart: “Salesforce werkt aan het daadwerkelijk oplossen van de oorzaak en het bieden van robuustere soorten snelle filtering. Ik verwacht dat ze robuustere verdedigingslaag toevoegen.”
