網路安全研究人員揭露了一個影響Salesforce Agentforce平台的關鍵漏洞,攻擊者可透過間接提示注入(indirect prompt injection)技術,從客戶關係管理(CRM)系統中竊取敏感資料。
這個被命名為「ForcedLeak」的漏洞由Noma Security於2025年7月28日發現並通報,CVSS評分高達9.4分。該漏洞影響所有啟用Web-to-Lead功能的Salesforce Agentforce用戶組織。
Noma Security安全研究主管Sasi Levi表示:「這個漏洞突顯了AI代理程式相對於傳統提示回應系統,帶來了本質上不同且範圍更廣的攻擊威脅。」
攻擊手法分析
ForcedLeak利用間接提示注入攻擊,這種手法將惡意指令插入AI系統存取的外部資料來源中,導致系統產生原本被禁止的內容或執行非預期行為。Apollo Information Systems資訊安全長Andy Bennett解釋,
間接提示注入本質上就像跨站腳本攻擊,但不是欺騙資料庫洩露不該洩露的資訊,而是讓內嵌的AI執行這些動作,就像腳本攻擊與社交工程的混合體。
研究人員展示的攻擊路徑包含以下五個步驟:
- 惡意表單提交:攻擊者在Web-to-Lead表單的Description欄位中嵌入惡意指令
- 內部處理:企業員工使用標準AI查詢處理傳入的潛在客戶資料
- 指令執行:Agentforce同時執行合法請求和隱藏的惡意指令
- 資料查詢:系統查詢CRM中的敏感潛在客戶資訊
- 資料外洩:將資料以PNG圖像形式傳輸到攻擊者控制的網域
技術細節與利用方式
攻擊者利用了Salesforce內容安全政策(CSP)白名單中的一個已過期網域,只需花費5美元即可購買該網域,然後用來竊取CRM資料,包括客戶聯絡資訊、銷售管道細節和內部通訊內容。Noma Security指出,
透過利用上下文驗證的弱點、過於寬鬆的AI模型行為,以及CSP繞過技術,攻擊者可以建立惡意Web-to-Lead提交,在被Agentforce處理時執行未授權指令。研究發現,大語言模型(LLM)缺乏判別能力,無法區分合法的上下文資料與惡意指令,當系統將其作為執行引擎時,便可能導致關鍵敏感資料洩露。
Salesforce回應與修補
Salesforce已重新保護已過期的網域,並推出修補程式透過強制執行URL白名單機制,防止Agentforce和Einstein AI代理程式的輸出被發送到不受信任的URL。Salesforce在本月稍早發布的警報中強調,支援Agentforce的底層服務將強制執行可信URL白名單,確保在成功的提示注入後,不會透過外部請求呼叫或生成惡意連結,避免敏感資料逃脫客戶系統。
對於使用啟用Web-to-Lead功能的Salesforce AgentForce的組織,應立即應用Salesforc更新以強制執行可信URL機制,並審核現有潛在客戶資料,檢查含有異常指令的可疑提交。長期防護措施包括實施嚴格的輸入驗證以偵測可能的提示注入、對來自不可信來源的資料進行清理,以及建立即時提示注入偵測機制。
Black Duck資深網路安全解決方案架構師Chrissa Constantine建議建議加強AI代理程式周邊系統的安全防護,包括API、表單和各種介接元件。