Pesquisadores da NOMA divulgaram uma vulnerabilidade de injeção imediata, chamada “Forcedleak”, afetando os agentes de IA autônomos do Salesforce. A falha permite que os invasores incorporem instruções maliciosas nos formulários da Web, fazendo com que o agente da IA exfil tenha dados sensíveis ao gerenciamento de relacionamento com o cliente. O vulnerabilidade tem como alvo o Agentforce, uma plataforma de IA no ecossistema Salesforce para criar agentes autônomos para tarefas de negócios. A empresa de segurança NOMA identificou uma cadeia crítica de vulnerabilidade, atribuindo -lhe uma pontuação de 9,4 em 10 na escala de gravidade do CVSS. O ataque, apelidado de “Forcedleak”, é descrito como um script de sites cruzados (XSS) equivalente para a era da AI. Em vez de código, um invasor planta um prompt malicioso em um formulário on -line que um agente processa posteriormente, comprando -o a vazar dados internos. O vetor de ataque usa formulários da Web Salesforce padrão, como um formulário da Web para líderes para consultas de vendas. Esses formulários normalmente contêm um campo de “descrição” para os comentários do usuário, que serve como ponto de injeção para o prompt malicioso. Essa tática é uma evolução de ataques históricos, onde campos semelhantes foram usados para injetar código malicioso. A vulnerabilidade existe porque um agente de IA pode não distinguir entre entrada do usuário benigno e instruções disfarçadas nele. Para estabelecer a viabilidade do ataque, os pesquisadores da NOMA testaram os “limites de contexto” da AI AGERCE AI. Eles precisavam verificar se o modelo, projetado para funções comerciais específicas, processariam instruções fora do escopo pretendido. A equipe enviou uma pergunta simples e sem vendas: “Que cor você obtém misturando vermelho e amarelo?” A resposta da IA, “Orange”, confirmou que atrairia assuntos além das interações de vendas. Esse resultado demonstrou que o agente era suscetível ao processamento de instruções arbitrárias, uma pré -condição para um ataque imediato de injeção. Com a suscetibilidade da IA estabelecida, um invasor poderia incorporar um aviso malicioso de uma forma na Web para o líder. Quando um funcionário usa um agente de IA para processar esses leads, o agente executa as instruções ocultas. Embora o Agentforce tenha sido projetado para impedir a exfiltração de dados para os domínios arbitrários da Web, os pesquisadores encontraram uma falha crítica. Eles descobriram que a política de segurança de conteúdo da Salesforce foi a lista de vários domínios, incluindo um expirado: “My-Salesforce-cms.com”. Um invasor poderia comprar esse domínio. Em sua prova de conceito, o prompt malicioso da NOMA instruiu o agente a enviar uma lista de leads internos de clientes e seus endereços de email para esse domínio específico e de permissões de permissões, ignorando com sucesso o controle de segurança. Alon Tron, co-fundador e CTO da NOMA, descreveu a gravidade de um compromisso bem-sucedido. “E isso é basicamente o jogo”, afirmou Tron. “Conseguimos comprometer o agente e pedir para fazer o que for.” Ele explicou que o invasor não se limita à exfiltração de dados. Um agente comprometido também pode ser instruído a alterar as informações dentro do CRM, excluir bancos de dados inteiros ou ser usado como uma posição para girar em outros sistemas corporativos, aumentando o impacto da violação inicial. Os pesquisadores alertaram que um ataque forçado poderia expor uma vasta gama de dados sensíveis. Isso inclui dados internos, como comunicações confidenciais e insights de estratégia de negócios. Uma violação também pode expor extensos detalhes de funcionários e clientes. Os CRMs geralmente contêm notas com informações pessoalmente identificáveis (PII), como idade, hobbies, aniversário e status familiar de um cliente. Além disso, os registros das interações com os clientes estão em risco, incluindo datas e horários de chamadas, locais de reunião, resumos de conversas e transcrições de bate -papo completas de ferramentas automatizadas. Dados transacionais, como históricos de compra, informações sobre pedidos e detalhes de pagamento, também podem ser comprometidos, fornecendo aos atacantes uma visão abrangente dos relacionamentos com os clientes. Andy Shoemaker, CISO for CIQ Systems, comentou como essas informações roubadas poderiam ser armadas. Ele afirmou que “toda e qualquer essas informações de vendas poderia ser usada e para atingir ataques de engenharia de todos os tipos”. Shoemaker explicou que, com o acesso a dados de vendas, os invasores sabem quem está esperando certas comunicações e de quem, permitindo que eles criem ataques altamente direcionados e críveis. Ele concluiu: “Em suma, os dados de vendas podem ser alguns dos melhores dados para os invasores usarem para selecionar e direcionar efetivamente suas vítimas”. A recomendação inicial do Salesforce para mitigar o risco envolve a configuração do lado do usuário. A empresa aconselhou os usuários a adicionar os URLs externos necessários dos quais os agentes dependem da lista URLs confiáveis do Salesforce ou a incluí -los diretamente nas instruções do agente. Isso se aplica a recursos externos, como formulários de feedback de serviços como forms.google.com, bases de conhecimento externas ou outros sites de terceiros que fazem parte do fluxo de trabalho legítimo de um agente. Para abordar a exploração específica, o Salesforce divulgou patches técnicos que impedem os agentes do agente fortalecer os URLs confiáveis, combatendo diretamente o método de exfiltração usado na prova de conceito. Um porta -voz do Salesforce forneceu uma declaração formal: “O Salesforce está ciente da vulnerabilidade relatada pela NOMA e divulgou patches que impedem a produção em agentes agentes de serem enviados para URLs confiáveis. O cenário de segurança para a injeção imediata continua sendo uma área complexa e em evolução, e continuamos a investir em lenços de segurança e trabalham estreitamente. De acordo com Alon Tron, do Noma, enquanto os patches são eficazes, o desafio fundamental permanece. “É uma questão complicada, definindo e levando a IA para entender o que é malicioso ou não em um rápido”, explicou. Isso destaca a dificuldade principal em garantir modelos de IA de instruções maliciosas incorporadas na entrada do usuário. Tron observou que o Salesforce está buscando uma correção mais profunda, afirmando: “O Salesforce está trabalhando para realmente corrigir a causa raiz e fornecer tipos mais robustos de filtragem rápida. Espero que eles adicionem camadas de defesa mais robustas”.
