Onderzoekers van cybersecurity hebben een kritieke fout bekendgemaakt die van invloed is op Salesforce Agentforce, een platform voor het bouwen van kunstmatige intelligentie (AI), waarmee aanvallers mogelijk gevoelige gegevens van het Customer Relationship Management (CRM) -tool kunnen exfiltreren door middel van een indirecte snelle injectie.
De kwetsbaarheid is gecodeerd Forcedleak (CVSS-score: 9.4) door Noma Security, die het probleem op 28 juli 2025 heeft ontdekt en gerapporteerd. Het heeft invloed op elke organisatie die Salesforce AgentForce met de web-to-lead-functionaliteit heeft ingeschakeld.
“Deze kwetsbaarheid toont aan hoe AI-agenten een fundamenteel ander en uitgebreid aanvalsoppervlak presenteren in vergelijking met traditionele prompt-responsystemen,” zei Sasi Levi, lead van beveiligingsonderzoek bij NOMA, in een rapport gedeeld met het Hacker News.
Een van de meest ernstige bedreigingen voor generatieve kunstmatige intelligentie (GenAI) -systemen is tegenwoordig indirecte snelle injectie, die optreedt wanneer kwaadaardige instructies worden ingevoegd in externe gegevensbronnen die door de service zijn toegankelijk, waardoor deze effectief verboden inhoud genereert of onbedoelde acties onderneemt.
Het aanvalspad dat door Noma wordt aangetoond, is bedrieglijk eenvoudig omdat het het beschrijvingsveld in web-to-lead-formulier overhaalt om kwaadaardige instructies uit te voeren door middel van een snelle injectie, waardoor een dreigingsacteur gevoelige gegevens kan lekken en het kan exfiltreren naar een Salesforce-gerelateerd toegestaan toegestane domein dat was verlopen en beschikbaar voor aankoop voor As Loint As Little As Little As $ 5.
Dit vindt plaats over vijf stappen –
- Aanvaller verstrekt web-naar-lead formulier met een kwaadaardige beschrijving
- Interne werknemersprocessen leiden met behulp van een standaard AI -query om inkomende leads te verwerken
- Agentforce voert zowel legitieme als verborgen instructies uit
- Systeemvragen CRM voor gevoelige leadinformatie
- Verzend de gegevens naar het nu door aanvallers gecontroleerde domein in de vorm van een PNG-afbeelding
“Door zwakke punten te benutten in contextvalidatie, overdreven toelaatbaar AI-modelgedrag en een bypass voor contentbeveiliging (CSP), kunnen aanvallers kwaadaardige web-to-lead-inzendingen maken die ongeautoriseerde opdrachten uitvoeren wanneer verwerkt door AgentForce,” zei Noma.
“De LLM, die werkt als een eenvoudige uitvoeringsmotor, ontbrak de mogelijkheid om onderscheid te maken tussen legitieme gegevens die in zijn context zijn geladen en kwaadaardige instructies die alleen uit vertrouwde bronnen moeten worden uitgevoerd, wat resulteert in kritische gevoelige gegevenslekkage.”
Salesforce heeft sindsdien het verlopen domein opnieuw verzekerd, patches uitgerold die de output in Agentforce en Einstein AI-middelen verhinderen om naar niet-vertrouwde URL’s te worden gestuurd door een URL-toelatingsmechanisme te handhaven.
“Onze onderliggende diensten Power Force zullen de vertrouwde URL -toelage afdwingen om ervoor te zorgen dat er geen kwaadaardige verbindingen worden opgeroepen of gegenereerd door middel van potentiële snelle injectie,” zei het bedrijf in een eerder deze maand die eerder deze maand is uitgegeven. “Dit biedt een cruciale verdediging-in-diepgaande controle tegen gevoelige gegevens die ontsnappen aan klantensystemen via externe verzoeken na een succesvolle snelle injectie.”
Naast het toepassen van de aanbevolen acties van Salesforce om vertrouwde URL’s af te dwingen, worden gebruikers aanbevolen om bestaande leadgegevens te controleren voor verdachte inzendingen die ongebruikelijke instructies bevatten, strikte invoervalidatie implementeren om mogelijke snelle injectie te detecteren en gegevens uit niet -toegestane bronnen te reinigen.
“De forcedleak -kwetsbaarheid benadrukt het belang van proactieve AI -veiligheid en governance,” zei Levi. “Het dient als een sterke herinnering dat zelfs een goedkope ontdekking miljoenen kan voorkomen aan potentiële schending van inbreuk.”
