Salesforce旗下Agentforce AI平台曝資安漏洞 現已強制更新URL白名單

記者孫敬／編譯

資安公司Noma Labs最近在Salesforce的Agentforce AI平台上，發現了一個名為「ForcedLeak」；CVSS評分為9.4的資安漏洞，其運作方式是一種極其複雜的「間接提示注入」（Indirect prompt injection）攻擊，可能導致外部攻擊者竊取敏感的客戶關係管理（CRM）資料。

這項發現凸顯出，與傳統系統相比，自主運作的AI代理程式帶來了本質上截然不同的、更廣泛的攻擊面。

延伸閱讀：趨勢科技ZDI查獲輝達函式庫資安漏洞 Python pickle模組再成隱憂

Salesforce AI三大關鍵弱點導致資料外洩

研究人員發現，此次攻擊成功的原因，是利用了Salesforce AI平台的多個弱點，包括：

• 情境驗證不足：AI模型無法區分其內部載入的可信數據，與攻擊者在其中嵌入的惡意指令。
• 過度寬鬆的AI模型行為：AI的行為過於寬鬆，使得它會聽從並執行惡意指令。
• 繞過內容安全政策（CSP）的漏洞：研究人員發現一個關鍵漏洞，成功繞過了平台的內容安全政策。

具體攻擊手法是，攻擊者可以建立一個惡意的Web-to-Lead表單，並在裡面隱藏未經授權的指令。當AI代理程式處理這筆潛在客戶資料時，其大型語言模型（LLM）會將這些惡意指令視為合法指令，導致敏感資料被竊取。例如，攻擊者在表單的「描述」欄位中植入惡意程式碼，當員工要求AI代理程式審查這筆資料時，代理程式就會執行隱藏的指令。

這個攻擊成功的關鍵，在於研究人員發現一個已過期的Salesforce網域「my-salesforce-cms.com」仍被列在白名單中，且該網域可以被購買。攻擊者只要買下這個網域，就能建立一個看似可信的通道，讓AI代理程式將敏感資料傳送到這個由攻擊者控制的網域，藉此繞過本應阻止這類行為的安全控制。

如何防範與保護你的CRM資料？

如果這個名為 ForcedLeak 的漏洞被廣泛利用，將會帶來嚴重的後果，包括機密的客戶聯絡資訊、銷售管道數據、內部溝通內容和歷史互動紀錄等，都可能面臨外洩風險。所有啟用Web-to-Lead功能的Salesforce Agentforce用戶，特別是那些需要經常處理外部潛在客戶資料的銷售與行銷組織，都可能受到影響。

Salesforce現更新了已過期的網域，並針對Agentforce和Einstein AI實施了更嚴格的「信任URL執行」（Trusted URLs Enforcement）安全控制。

Salesforce官方建議用戶採取以下措施來保護資料安全：

• 更新安全設定：立即套用官方建議的更新，為Agentforce和Einstein AI強制執行「信任URL執行」。
• 審核現有資料：檢查現有的潛在客戶資料中，是否有任何包含異常指令的可疑提交內容。
• 實施嚴格的輸入驗證：對所有來自不可信來源的數據，實施嚴格的輸入驗證和資料清理。

資料來源：Cyber Security News